بدافزاری که از راه دور گوشی شما را کنترل می کند

ارسال شده توسط آوین احمدی 1404-10-02
بدافزاری که از راه دور گوشی شما را کنترل می کند

دنیای امنیت اندروید با تهدید جدیدی روبرو شده است. یک تروجان دسترسی از راه دور جدید (RAT) به نام «Cellik» شناسایی شده است که از ساختار برنامه‌های کاربردی در Google Play برای ایجاد نسخه‌های مخرب برنامه‌های قانونی سوء استفاده می‌کند. بر اساس گزارش شرکت امنیتی iVerify، این بدافزار نه تنها کنترل کامل دستگاه را به دست می گیرد، بلکه می تواند توسط مهاجمان در برنامه های کاملا قانونی و شناخته شده بسته بندی و توزیع شود.

بدافزار برای هکرهای آماتور

Cellik در دسته ای نوظهور به نام “x-as-a-service” قرار می گیرد. در این مدل، مجرمان سایبری می‌توانند برای دسترسی به نسخه‌های آماده ابزارهای مخرب، از جمله سارقان اعتبار، باج‌افزارها و کیت‌های فیشینگ، پولی را پرداخت کنند. نکته نگران کننده در مورد Cellik این است که یک بدافزار “بالغ” در نظر گرفته می شود. این بدان معنی است که حتی هکرهایی با مهارت های فنی پایین نیز می توانند با کمترین تلاش از آن استفاده کنند.

هنگامی که این بدافزار به گوشی اندرویدی قربانی نفوذ می کند، مهاجم کنترل کامل دستگاه را در دست می گیرد. Cellik محتوای صفحه را مستقیماً برای هکر پخش می کند و به او اجازه می دهد تلفن را از راه دور کنترل کند.

این تروجان به یک ویژگی keylogger مجهز است که هر چیزی را که کاربر تایپ می کند ثبت می کند. اما استعدادهای او به همین جا ختم نمی شود. مهاجم می تواند اعلان های روی صفحه، گذرواژه های یک بار مصرف (OTP) و سیستم فایل گوشی را مشاهده کند. این دسترسی شامل داده های حساس مرورگر مانند کوکی ها و حتی نام کاربری و رمز عبور ذخیره شده است.

بر اساس تحلیل iVerify، مهاجمی که از این بدافزار استفاده می‌کند می‌تواند هر فایلی را مشاهده، دانلود، آپلود یا حذف کند و حتی به فضای ذخیره‌سازی ابری متصل به گوشی دسترسی داشته باشد. یک هکر می تواند به وب سایت ها برود، روی پیوندها کلیک کند و فرم ها را پر کند. قربانی هیچ فعالیتی را روی صفحه نمایش خود نمی بیند.

Cellik همچنین دارای اختیار ایجاد صفحات جعلی (همپوشانی) در برنامه های اصلی (به عنوان مثال، نمایش صفحه ورود جعلی در برنامه بانکی) است. همچنین دارای یک سیستم ژنراتور خودکار است که می تواند Google Play را جستجو کند، یک برنامه قانونی دانلود کند، کد مخرب Cellik را در آن برنامه بپیچد و آن را دوباره بسته بندی کند تا برای قربانیان ارسال شود.

Cellik چگونه بر سد “حفاظت Google Play” غلبه می کند؟

خطر واقعی Cellik در توانایی آن برای دور زدن ویژگی‌های امنیتی مانند Play Protection نهفته است. اگرچه Google Play Protect می تواند برنامه های ناشناخته یا مخرب را شناسایی کند، یک تروجان پنهان شده در یک بسته نرم افزاری محبوب و شناخته شده می تواند به راحتی از این فیلتر عبور کند.

این برنامه‌های آلوده اغلب در سایت‌های شخص ثالث و مکان‌هایی یافت می‌شوند که کاربران در آن‌ها بارگذاری جانبی (در خارج از فروشگاه رسمی نصب می‌کنند). پس از نصب، بدافزار در پس‌زمینه اجرا می‌شود و به هکر دسترسی کامل بدون نیاز به سوءاستفاده‌های پیچیده و تنها با تکیه بر «مهندسی اجتماعی» و اعتماد کاربر می‌دهد.

برای به حداقل رساندن خطر این بدافزار، کارشناسان امنیتی توصیه می کنند که کاربران همیشه با تاکتیک های مهندسی اجتماعی آشنا باشند و در انتخاب منبع دانلود اپلیکیشن دقت کنند. بهترین شیوه های حفاظتی عبارتند از:

  • اجتناب از بارگذاری جانبی: در صورت امکان، برنامه ها را فقط از فروشگاه های رسمی (مانند Google Play) دانلود کنید.
  • امضاها را بررسی کنید: اگر مجبور به بارگذاری جانبی هستید، هش ها و امضاهای فایل APK را به صورت دستی تأیید کنید.
  • استفاده از راه حل های امنیتی: نصب نرم افزاری که قادر به شناسایی و واکنش به بدافزار باشد، می تواند یک لایه امنیتی اضافی ایجاد کند.

در نهایت، گزارش ها حاکی از آن است که سهولت استفاده Cellik برای هکرها، آن را به یک تهدید جدی تبدیل می کند. در عصری که هکرها می‌توانند یک برنامه کاملاً عادی را با بدافزار بپیچند، اعتماد به منابع غیررسمی می‌تواند حساب‌های بانکی، گذرواژه‌ها و تمام اطلاعات شخصی‌تان را به قیمت تمام کند.