GhostCntrl بدافزار خطرناک اندرویدی با امکان کنترل از راه دور قابلیت‌های گوشی قربانی؛ روح هکرها اندروید را آلوده کرد

بدافزار جدیدی که توانایی آلوده کردن طیف وسیعی از دستگاه‌های الکترونیکی هوشمند مجهز به سیستم عامل اندروید را دارد توسط شرکت TrendMicro کشف شده است. این بدافزار این امکان را به نفوذگران می‌دهد تا کنترل کاملی روی دستگاه قربانی و قابلیت‌های مختلف آن داشته باشد.

بدافزار جدیدی به نام GhostCntrl که توسط متخصصان شرکت امنیتی TrendMicro کشف شده در واقع نمونه‌ای منشعب شده از بدافزاری است که پیش از این به سرقت اطلاعات مهم و حیاتی از بیمارستان‌ها و مراکز درمانی منجر شده بود. بدافزار اصلی کرمی به نام RETADUP است که آلودگی‌های گسترده‌ای را رقم زده بود.  GhostCntrl، برخلاف روند مرسومی که در بحث عملکرد بدافزارهای رایج شاهد هستیم می‌تواند کنترل طیف وسیعی از قابلیت‌ها و مشخصه‌های دستگاه اندرویدی را پس از صدور دستور از طرف نفوذگران، از راه دور در اختیار بگیرد. در ادامه بررسی دقیق‌تری روی نسخه‌های مختلف این بدافزار و همچنین عملکرد و مکانیسم آن خواهیم داشت.

در حال حاضر سه نسخه متفاوت از بدافزار GhostCntrl کشف شده است. نسخه اصلی این بدافزار امکان آن را فراهم کرده تا نفوذگران به سرقت اطلاعات و در دست گرفتن کنترل بخشی قابل توجه از قابلیت‌های دستگاه هدف اقدام کنند. در قالب نسخه دوم، بدافزار امکان آن را فراهم می‌کند تا نفوذگر طیف وسیع‌تری از قابلیت‌ها و مولفه‌های کنترلی دستگاه قربانی را در اختیار بگیرد.

با تمام تفاسیر، هر دو نسخه یادشده فاقد قابلیت‌هایی فراتر از توانایی‌های موجود در بدافزارهای رایج در حوزه امنیت سایبری هستند. از همین رو شناسایی و در نهایت امر، رصد کردن فعالیت‌ها و تغییرات آن‌ها نیز ساده‌تر است. مشکل اصلی، نسل سوم GhostCntrl است که از روش‌هایی ماورای آنچه در بدافزارهای رایج بازار شاهد هستیم برای نفوذ استفاده کرده و از همین رو شناسایی آن نیز به مراتب سخت‌تر خواهد بود. به بیان ساده‌تر، نسخه سوم این بدافزار پیشرفته توانسته با سازوکاری متفاوت، از قابلیت‌هایی که در دو نسخه اول شاهد هستیم، بهره‌برداری بهتری داشته باشد. آن‌طور که از شواهد امر پیداست بدافزار GhostCntrl در جریان بهینه‌سازی و توسعه ابزار چند پلتفرمی کنترل از راه دور دستگاه‌های الکترونیکی به نام OmniRAT پا به حیات گذاشته است. این امر را می‌توان از بررسی فایل‌های resources.arsc تشخیص داد. این فایل‌ها نشان از‌آن دارند که بدافزار یادشده با استفاده از در پشتی که در OmniRAT توسط توسعه‌دهندگان ایجاد شده توسعه یافته است. OmniRAT که در ابعاد تجاری در دسترس کاربران قرار گرفته است در سال ۲۰۱۵ میلادی به شهرت رسید. در ۲۰۱۵ میلادی مشخص شد نفوذگران از این ابزار دسترسی از راه دور برای آلوده کردن دستگاه‌های مجهز به اندروید، ویندوز و لینوکس استفاده کرده‌اند. لایسنس دائمی برای خرید OmniRAT کم‌تر از یکصد دلار هزینه داشته و این در حالی است که نسخه‌های کرک شده این ابزار نیز به وفور در بازار یافت می‌شوند.

GhostCntrl خود را به عنوان نرم‌افزاری قانونی و بدون مشکل نظیر پیام رسان واتس اپ یا بازی پوکمون گو به سیستم معرفی می‌کند. وقتی فایل نصب را برای اولین بار لمس کنید، اپلیکیشن به‌طور خودکار از قربانی درخواست می‌کند تا فرایند نصب را به پایان برساند. پس از این، پیغامی از کاربر می‌خواهد اپلیکیشن را نصب کند حتی در صورت لمس آیکون نیز همچنان گزینه نصب روی صفحه گوشی به نمایش در می‌آید. نکته قابل توجه اینکه با پایان یافتن فرایند نصب، هیچ اثری از آیکون برنامه نخواهید دید. پس از این مرحله، بدافزار در پس زمینه گوشی به حالت فعال در آمده و حتی با خاموش و روشن کردن گوشی نیز در حافظه مقیم می‌شود. این بدافزار به نحوی طراحی شده تا برای اثبات این امر که نرم‌افزاری قانونی و بدون مشکل است نیز با عنوان com.android.engine در میان پروسه‌های گوشی، فعال شود.

پس از این مرحله، بدافزار با سرور ویژه ارسال و کنترل ارتباط برقرار کرده و منتظر دریافت دستورالعمل‌ها می‌شود. سروری که توسط نفوذگر مدیریت می‌شود. اطلاعاتی که بین دستگاه آلوده شده و سرور فرمان و کنترل نفوذگر رد و بدل می‌شود از کانالی کاملاً رمزگذاری شده عبور می‌کند.

از جمله دستورالعمل‌هایی که امکان اجرای آن از راه دور توسط نفوذگر وجود دارد می‌توان به فرمان‌های کنترل روشن و خاموش شدن وای‌فای، مشاهده و مدیریت سنسورهای دستگاه، کنترل قابلیت ویبره و کنترل سنسور مادون قرمز اشاره کرد. حتی نفوذگر می‌تواند از این مراحل نیز فراتر رفته و پس زمینه‌ای را برای صفحه نمایش گوشی شما دانلود کرده و صفحه‌نمایش پیش‌فرض را تغییر دهد. بدست آوردن لیست کاملی از فایل‌های موجود روی دستگاه و جزئیات آن‌ها نظیر اندازه فایل و آخرین زمان دسترسی شما به آن‌ها یا حتی امکان تغییر نام و حذف فایل‌ها نیز از جمله مواردی است که نفوذگر می‌تواند از راه دور اعمال کند.

امکان ارسال پیامک‌های متنی یا چندرسانه‌ای از دستگاه آلوده توسط نفوذگران نیز قابل توجه است. حتی این امکان وجود دارد تا تماس‌های صوتی نیز از گوشی قربانی توسط نفوذگران برقرار شود. نفوذگر می‌تواند پیامک‌های متنی را هم حذف کرده یا تاریخچه مرورگر وب را روی دستگاه‌‌های آلوده نیز پاک کند. فرامین خط فرمان نیز امکان اجرا توسط نفوذگر را خواهند داشت.

از جمله قابلیت‌هایی که در GhostCntrl به‌طور منحصر به فرد مشاهده می‌شود و به ندرت در دیگر ابزارهای دسترسی از راه دور به چشم می‌خورد می‌توان به امکان تغییر یا بازنشانی گذرواژه‌های مربوط به حساب کاربری کاربر اشاره کرد. تغییر اطلاعاتی که در کلیپ بورد ذخیره شده، پخش فایل‌های صوتی روی دستگاه آلوده، پایان دادن به تماس تلفنی و کنترل دستگاه آلوده از طریق تراشه بلوتوثی نیز از دیگر قابلیت‌های این بدافزار هوشمند و کاملاً خطرناک است.

اگرچه حفره‌های امنیتی و بدافزارهای مختص اندروید با پوشش کامل از طرف رسانه‌های خبری روبرو می‌شوند اما به این نکته توجه داشته باشید که سیستم عامل iOS اپل نیز شرایط مشابهی را تجربه کرده است. اپل با سیستم عامل iOS به عنوان رقیب اصلی اندروید گوگل، در حال حاضر مشکلات امنیتی متفاوتی را در اکوسیستم دستگاه‌های الکترونیکی هوشمند خود از سر می‌گذراند. به عنوان مثال، به تازگی اخباری در خصوص کشف حفره امنیتی خطرناک در محصولات اپل شامل آیفون ۵ و مدل‌های جدیدتر، آیپد ۴ و مدل‌های پس از آن و همچنین نسل ششم آیپاد اپل منتشر شده است. این حفره امنیتی روی گوشی‌هایی رصد شده که از تراشه وای‌فای Broadcom بهره می‌برند. جزئیات بیشتر در خصوص ابعاد کامل استفاده نفوذگران از این حفره امنیتی در کنفرانس BlackHat که در لاس وگاس برگزار خواهد شد اعلام می‌شود. با این تفاسیر، باید اعتراف کرد که هر دو سیستم‌عامل غالب بازار دستگاه‌های الکترونیکی هوشمند، با مشکلات امنیتی گسترده‌ای دست و پنجه نرم می‌کنند. مشکلاتی که می‌تواند امنیت و حریم خصوصی کاربران را با چالش‌های جدی مواجه کند.