أسبوع الأمن 16: xHelper - Android Survival Trojan

قبل أسبوع ، في 7 أبريل ، نشر خبراء Kaspersky Lab دراسة تفصيلية لـ xHelper Android Trojan. تم اكتشافه لأول مرة في منتصف العام الماضي ، معظم الهجمات باستخدام حساب البرمجيات الخبيثة لهواتف المستخدمين الروس. أكثر ما يميزها هو القدرة على البقاء حتى إعادة ضبط الهاتف على إعدادات المصنع.

غالبًا ما يتم إخفاء حصان طروادة كتطبيق لتنظيف وتسريع الهاتف الذكي. بعد تثبيته ، قد يبدو للمستخدم أنه حدث خطأ - لا يظهر حصان طروادة في قائمة البرنامج ، ويمكنك العثور عليه فقط في قائمة التطبيقات المثبتة في قائمة الإعدادات. يصل البرنامج إلى خادم الأوامر ويرسل معلومات حول الجهاز وينزّل الوحدة النمطية الخبيثة التالية. يتكرر البرنامج النصي عدة مرات ، وتبين نوعًا من دمية التعشيش ، حيث يكون العنصر الرئيسي هو AndroidOS.Triada.dd البرمجيات الخبيثة ، والتي تحتوي على مجموعة من المآثر للحصول على حقوق المستخدم الفائق.

على الأرجح ، سيكون البرنامج قادرًا على الوصول إلى الجذر على الهواتف الذكية الصينية التي تعمل بنظام Android 6 و 7. بعد اختراق الجهاز بنجاح ، سيقوم حصان طروادة بإعادة تحميل قسم النظام (متوفر في البداية فقط في وضع القراءة) ويقدم مجموعة أخرى من البرامج الضارة هناك. تسمح إضافة أمر لتشغيل الملفات القابلة للتنفيذ في البرنامج النصي لبدء التشغيل الأول لنظام التشغيل ، باستعادة حصان طروادة حتى بعد إعادة تعيين الإعدادات. يتم تغيير الخيارات الأخرى بحيث تجعل من الصعب بعد ذلك توصيل قسم النظام لإزالة البرامج الضارة. بما في ذلك مكتبة النظام المعدلة libc.so.

لم يتم وصف قدرات xHelper في الدراسة بالتفصيل ، لأنها غير محدودة عمليًا. هناك باب خلفي في الجهاز المحمول المصاب ، ويمكن للمشغل تنفيذ أي إجراء بحقوق المستخدم الفائق. يمكن للمهاجمين الوصول إلى بيانات جميع التطبيقات ويمكنهم تنزيل وحدات ضارة أخرى - على سبيل المثال ، لاختراق حسابات خدمة الشبكة. علاج الهاتف الذكي عملية معقدة. نظريًا ، يمكنك تحميل الجهاز في وضع الاسترداد ، يمكنك محاولة إعادة النسخة الأصلية من مكتبة libc.so إلى مكانها ، والتي ستزيل الوحدات الخبيثة من قسم النظام. من الناحية العملية ، من الأسهل إعادة تحميل ملفات الهاتف الذكي ، على الرغم من أن الباحثين لاحظوا أن بعض البرامج الثابتة الموزعة على الشبكة تحتوي بالفعل على xHelper.

ماذا حدث

أمن المعلومات في وباء. ستعمل Google و Apple معًا على تطوير خدمة ستساعدك في تحديد ما إذا كنت تتقاطع مع ناقل الفيروس التاجي ( أخبار ، مقالة مفصلة عن هبر). تتضمن الخدمة تبادلًا مجهولاً للمعلومات بين الهواتف الذكية عبر Bluetooth ، مما يثير بالطبع شكوكًا حول خصوصية مثل هذا التبادل وإمكانية إعادة توصيف التكنولوجيا ، على سبيل المثال ، لاحتياجات الإعلان. من ناحية أخرى ، هذا هو البديل من المساعدة التكنولوجية في حل مشكلة طبية.

استأجرت خدمة مؤتمرات الإنترنت Zoom مدير الأمن السابق في Facebook Alex Stamios. في هذه الأثناء ، الخدمة محظورة في المدارس الأمريكية وعلى جوجل. لا يزال مطوروها يعملون على الأمان ، بما في ذلك تعديلات واجهة صغيرة ولكنها مهمة - لم يعد رقم المؤتمر معروضًا في شريط العنوان في نافذة Zoom ، مما يجعل السيناريو "قام شخص ما بنشر لقطة شاشة وبدأ الأشخاص العشوائيون في الاتصال بالاجتماع" أقل احتمالية. وصف ستاموس في مشاركته على المدونة التحول السريع لـ Zoom من خدمة الشركات غير المعروفة إلى خمس دقائق إلى عنصر أساسي في البنية التحتية.

مطوري ال WhatsApp إلى مزيفة القتال حول التاجى (وغيرها من "مقتطفات من الإنترنت") الآن تسمحقم بإعادة توجيه الرسالة مرة واحدة فقط إذا لم تصل إليك من جهات اتصال عادية.

و تمت الضعف الحرجة تم الكشف في حزمة إم وير خدمة الدليل (vmdir) والبرمجيات ( أخبار ، شركة النشرة ). يتم استخدام الخدمة للإدارة المركزية للأجهزة الافتراضية. يمكن أن يؤدي خطأ في نظام التفويض إلى الاستيلاء على السيطرة على البنية الأساسية للخادم الافتراضي للشركة بالكامل. بحثت

شركة سوفوستطبيقات "باهظة الثمن بشكل غير معقول" على متجر التطبيقات. تُعرف هذه البرامج ، عادةً بوظائف أساسية مثل المسطرة والآلة الحاسبة ومصباح يدوي وما شابه ذلك ، باسم fleeceware. يقدم التحليل عشرين أمثلة على البرامج ، بعضها ينجح في الوصول إلى قوائم الأكثر ربحية في المتاجر الإقليمية. السمة المميزة لبرنامج fleeceware هو عرض فترة تجريبية مجانية عند الإطلاق الأول. ونتيجة لذلك ، يدفع المستخدم مقابل "الأبراج" أو "إنشاء صور رمزية" تصل إلى مائة جنيه في السنة ، وأحيانًا دون معرفة ذلك.