هشدار: عرضه گسترده اندروید باکس‌های آلوده به بدافزار خطرناک در ایران

هنگامی که یک دستگاه اندرویدی چون تی وی باکس خریداری می‌کنید، احتمالاً به هر چیزی جز امنیت آن فکر می‌کنید. خبر بد اینکه یک بررسی نشان می‌دهد تعداد قابل توجهی از دستگاه‌های اندرویدی متفرقه حاوی درب پشتی هستند و می‌توانند برای جاسوسی و جمع آوری اطلاعات مورد استفاده قرار بگیرند. بدتر اینکه اندروید باکس‌های آلوده به بدافزار به وفور در بازار ایران هم یافت می‌شوند.

ژانویه امسال یک پژوهشگر امنیتی به نام دانیل میلیسیک متوجه می‌شود یک اندروید باکس ارزان قیمت به مدل T95 حاوی بدافزار از پیش نصب شده است. هم زمان پژوهشگرهای امنیتی بیشتری این یافته را تأیید کرده‌اند. اما ظاهراً این تنها نوک کوه یخ بوده است.

وجود اندروید باکس های مشکوک در بازار ایران

این هفته شرکت امنیتی Human Security پرده از یافته‌های خود برداشت و خبر از یک شبکه سازمان یافته نصب بدافزار بر روی وسائل اندرویدی دارد. مجرمین اقدام به نصب گونه‌ای از بدافزار Triada بر روی دستگاه‌های نو می‌کنند اما روشن نیست این کار دقیقاً کجا و توسط چه کسی انجام می‌شود. در مرحله بعد مجرمین از این درب پشتی برای تزریق بدافزارهای بیشتر، هدایت کاربر به صفحه جعلی جی میل، واتس اپ و نظیر آنها استفاده می‌کنند که یک هدف ساده دارد و آن به سرقت بردن اطلاعات است.

بدافزار Triada به سال 2006 میلادی باز می‌گردد و قادر است با دست‌کاری پردازش‌های اصلی سیستم عامل اندروید، خود را به تمامی برنامه‌ها و بازی‌های نصب شده از سوی کاربر تزریق کند. برای نمونه این تروجان می‌تواند پیامک‌های مربوط به تراکنش‌های بانکی و همراه‌ها بانک‌ها را به سرقت ببرد.

جالب‌تر اینکه یک کُد مخرب دیگر هم شناسایی شده است که به طور پنهانی بر روی صفحات اینترنتی و تبلیغات آنها کلیک می‌کند تا برای سازندگان بدافزار درآمد کسب کند. این رفتار بر روی گوشی‌ها و تبلت های اندرویدی هم مشاهده شده است و تنها به تی وی باکس‌ها محدود نمی‌شود.

خبر بد اینکه بدافزارهای BADBOX بر روی پارتیشن Read Only حافظه دستگاه‌های اندرویدی نصب می‌شود و به آسانی قابل پاک کردن نیست. این ویژگی باعث می‌شود حتی ریست فاکتوری هم مؤثر واقع نشود.

بررسی‌های ما نشان می‌دهد اندروید باکس‌های آلوده به بدافزار که در گزارش Human Security آمده‌اند، در بازار ایران هم یافت می‌شوند. از جمله این اندروید باکس‌های خطرناک می‌توان T95 ،T95Z ،T95MAX، X88 PRO و T95Z PLUS را برشمرد. همچنین بسیاری دیگر از اندروید باکس‌های بازار ایران احتمالاً صرفاً ریبرند همین مدل‌ها هستند.

در ظاهر اندروید باکس های موجود در بازار ایران همان مدل های موجود در گزارش Human Security هستند، با این حال آلودگی احتمالی آنها به بدافزار قطعی نیست. این اندروید باکس های متفرقه عمدتاً بدون گارانتی هستند.

شرکت امنیتی Human Security یافته‌های خود را با گوگل و اپل در میان گذاشته است و بخش بزرگی از اپلیکیشن های آلوده یا مورد استفاده برای مقاصد مجرمانه از فروشگاه‌های گوگل پلی و اپل استور حذف شده‌اند. همچنین این شرکت اطلاعات به دست آمده از سازنده احتمالی دستگاه‌های اندرویدی آلوده به بدافزار را با نهادهای مرتبط در میان گذاشته است.

این گزارش نشان می‌دهد مجرمین عمدتاً اندروید باکس‌های ارزان و متفرقه را به بدافزار آلوده کرده‌اند که اتفاقاً فروش بالایی هم دارند. متأسفانه این بدافزارها بر روی دست کم 200 دستگاه اندرویدی مختلف شناسایی شده‌اند که از اندروید باکس گرفته تا تبلت و گوشی موبایل را شامل می‌شود. بدتر اینکه نشانه‌هایی از آلودگی بیش از  74,000 دستگاه اندرویدی به BADBOX مشاهده شده است.