کشف بدافزار روی تبلت‌های اندرویدی نو که پاک هم نمی‌شود

تحقیقات تازه کارشناسان امنیتی نشان می‌دهد برخی تبلت‌های اندرویدی حتی پیش از آنکه به دست خریدار برسند، به بدافزاری بسیار عمیق و خطرناک آلوده شده‌اند. این بار پای یک بدافزار سطح فریم‌ور در میان است که برنامه‌های آنتی‌ویروس معمولی قادر به تشخیص و پاک کردن آن نیستند.

طبق داده‌های تله‌متری کسپرسکی، دست‌کم ۱۳٬۷۱۵ کاربر در کشورهای مختلف از جمله روسیه، ژاپن، آلمان، برزیل و هلند تحت تأثیر این آلودگی قرار گرفته‌اند که بزرگی آن را نشان می‌دهد.

شناسای بدافزار و در پشتی Keenadu 

کارشناسان امنیتی شرکت Kaspersky در جریان بررسی تروجان شناخته‌شده Triada موفق به کشف یک درِ پشتی جدید شده‌اند که آن را Keenadu  نام‌گذاری کرده‌اند. مجرمین از این طریق نه‌تنها روی تبلت‌های نو بدافزار نصب کرده‌اند، بلکه دسترسی‌های بسیار خطرناکی هم برای خود فراهم کرده‌اند.

در پشتی Keenadu در مرحله ساخت فریم‌ور دستگاه در آن تعبیه می‌شود که طی آن فایل‌های باینری سیستم‌عامل کامپایل می‌شوند. در مرحله یاد شده یک کتابخانه مخرب به‌طور مخفیانه به فایل حیاتی libandroid_runtime.so اندروید متصل می‌شود.

پس از روشن شدن دستگاه، این کتابخانه مخرب خودش را به فرایند Zygote تزریق می‌کند که یکی از بنیادی‌ترین بخش‌های اندروید است و به به‌عنوان «ریشه» اجرای تمام اپلیکیشن‌ها و سرویس‌های سیستمی عمل می‌کند. به این ترتیب Keenadu عملاً در تمام برنامه‌هایی که کاربر اجرا می‌کند حضور دارد، بدون آنکه نشانه‌ای آشکار از خود نشان دهد.

ساختار این بدافزار چندمرحله‌ای است و به مهاجمان امکان «کنترل تقریباً نامحدود» دستگاه را از راه دور می‌دهد. از دستکاری موتورهای جست‌وجو و نصب مخفیانه اپلیکیشن‌ها گرفته تا تعامل پنهانی با تبلیغات و اجرای ماژول‌های سفارشی، همه بخشی از قابلیت‌های Keenadu هستند. نکته نگران‌کننده‌تر اینکه ردپای این بدافزار حتی در برخی اپلیکیشن‌های توزیع‌شده از طریق Google Play و فروشگاه Xiaomi GetApps هم دیده شده است.

به نقل از TechSpot، کسپرسکی هنوز منشأ دقیق آلودگی را مشخص نکرده، اما شواهد به خرابکاری در زنجیره تأمین اشاره دارند؛ جایی که مجرمان سایبری به یکی از مراحل حساس تولید یا آماده‌سازی فریم‌ور دسترسی پیدا کرده‌اند و بدافزار را پیش از عرضه دستگاه‌ها در آن جاسازی کرده‌اند.

ظاهراً تنها راه برای رهایی از چنین بدافزارهایی، ارائه فریم‌ور پاک و عاری از بدافزار از سوی سازندگان است. بنابراین بهتر است همیشه آخرین آپدیت‌ها را نصب کنید. متاسفانه کسپرسکی اسامی کامل برندهای آلوده به بدافزار را اعلام نکرده است.