ایتنا - برای محافظت از خود در برابر تروجانهای پنهان چه کاری میتوانیم انجام دهیم؟
سازماندهی جرایم سایبری در اندروید توسط تروجان Triada
6 فروردين 1395 ساعت 13:41
ایتنا - برای محافظت از خود در برابر تروجانهای پنهان چه کاری میتوانیم انجام دهیم؟
آیا میدانید در ارتش چگونه عمل میکنند: در ابتدا دیدهبانی میکنند تا مطمئن شوند که این موقعیت مناسب است. سپس حمله سنگین آغاز میشود. از این روش در قدیم در جنگهای سایبری استفاده میکردند اما به نظر میرسد که این تروجان هم به همین روش کار می کند.
بسیاری از تروجانهای کوچک هم هستند که قادرند با اعمال نفوذ به اندروید از امتیازات دسترسی استفاده کنند و به معنای دیگر به ریشه اندروید دسترسی پیدا میکنند. Nikita Buchka و Mikhail Kuzin از تحلیلگران بخش بدافزار کسپرسکی، تروجانها را به ۱۱ مدل تقسیم کردهاند.
همه این بدافزارها تا همین اواخر ضرری در حد دانلود تبلیغات داشتند.
اگر از لحاظ نظامی نگاه کنید این تروجانها همان دیدهبانها میباشند. همانطور که شما هم متوجه شدهاید تروجانها پس از دسترسی پیدا کردن به ریشه سیستم توانایی دانلود و نصب برنامه ها را پیدا میکنند. به همین دلیل یک بار که یکی از اینها وارد سیستم شود در عرض چند دقیقه بقیه تروجانها هم هجوم میآورند. محققان کسپرسکی پیشبینی کردهاند که وظیفه این تروجانهای کوچک دانلود تروجانهای بسیار مخرب میباشد که واقعا میتوانند به دستگاهها آسیبهای جدی برسانند.
این دقیقا همان چیزی است که اخیرا اتفاق افتاده. با بررسی تروجانهای کوچک مانند Leech، Ztorg و Gopro تحلیلگران بدافزارهای مخرب کسپرسکی متوجه دانلود تروجان Triada شدهاند.
Triada تروجانی است که با فعال شدن به ریشه فایلهای سیستمی دسترسی پیدا میکند و عمدتا بر روی حافظه موقت دستگاه قرار میگیرد که شناسایی آن سخت میشود.
مسیر تاریک Triada
تروجان Triada پس از دانلود و نصب در ابتدا تلاش میکند برخی اطلاعات راجع به سیستم مانند مدل دستگاه، نسخه سیستمعامل، میزان فضای کارت SD و فهرستی از برنامههای نصب شده را بدست آورد. پس از این تمام اطلاعات را به سرور فرماندهی و کنترل ارسال میکند. ما در مجموع ۱۷ سرور C&C در ۴ دامنه مختلف کشف کردیم که در دسترس مهاجمین سایبری بود.
سپس سرور C&C یک فایل پیکربندیشده ایجاد میکند که حاوی شماره شناسائی شخصی برای دستگاه و برخی تنظیمات، فاصله زمانی تماس با سرور و به همین ترتیب فهرستی از ماژولهای نصبشده میباشد. ماژولها پس از نصب در حافظه کوتاه مدت مستقر میشوند و از حافظه دستگاه حذف میگردند که این عمل پیدا کردن آنها را سخت میکند.
به دو علت تشخیص و شناسائی تروجان Triada خیلی سخت است که به همین دلیل محققان ما را در جهت کشف آن تحت تاثیر قرار داد. علت اول تغییر روند تکثیر این تروجان است. این روند تکثیر در سیستمعامل اندروید اتفاق میافتد و به معنای واقعی کلمه بر روی تمامی برنامههای موجود در دستگاه راهاندازی و استفاده میشود.
دومین علت، جایگزینی عملکرد ماژولها در برابر سیستم است که خود را از فهرست برنامههای در حال اجرا مخفی میکردند. بنابراین عملکرد این تروجان برای سیستم قابلمشاهده نبود و هیچ هشداری صادر نمیشد.
این تنها عملکرد متغیر تروجان Triada نیست. کارشناسان ما کشف کردند که این تروجان دستی بر پیامکهای ارسالی و فیلتر ورودی آنها هم دارد. این یک روش کسب درآمد از طریق تروجان برای مجرمان سایبری است.
کد مطلب: 41937
آدرس مطلب: https://www.itna.ir/news/41937/سازماندهی-جرایم-سایبری-اندروید-توسط-تروجان-triada