گروه تحقیقاتی ESET مدتی است که بر روی توسعه و انتشار بدافزار های اندرویدی مطالعه می کند. پس از مشاهده ی اولین نسخه از خانواده ی باج افزار اندرویدی که آنتی ویروس تقلبی را با توانایی قفل صفحه نمایش ترکیب می کرد ( برای مثال Android Defender) ، موفق به کشف Simplocker، اولین باج افزار اندروید که فایل های کاربر را رمزگزاری می نمود، گردید. این بار محققان ESET موفق به کشف باج افزار شناخته شده ی نوع lock screen اندرویدی که قفل گوشی تلفن همراه(phone’s PIN lock) را تنظیم میکند شده است.
در نسخه ی قبلی تروجان، قابلیت قفل کردن صفحه نمایش با باز شدن مداوم پنجره ی باج افزار در یک چرخه ی بی نهایت بر روی پس زمینه کشف شده است. در حالیکه مکانیزم های مختلف دفاعی به منظور قفل کردن دستگاه کاربر به کار گرفته شده است، اما از آنجا که باز کردن دستگاه به کمک Android Debug Brigde ) ADB) و یا غیر فعال سازی قوانین مدیریت و حذف برنامه های مخرب در حالت Safe Mode امکان پذیر است ، رهایی یافتن از این باج افزار خیلی سخت نیست.
متاسفانه طراحان بدافزارها این فرایند را با Android ransom-locker جدید کشف شده توسط ESET با عنوان Android/ Lockerpin.A تشدید کرده اند. کاربران هیچ روش موثری برای به دست آوردن دوباره دسترسی بر دستگاه خود بدون root privileges یا بدون استفاده از آنتی ویروس ها، بدون در نظر گرفتن ” factory reset” که تمامی داده های کاربر را حذف می کند، در اختیار ندارند.
علاوه بر این، این باج افزار از دیگر ترفندها برای حفظ دسترسی دستگاه به منظور جلوگیری از حذف برنامه ها استفاده می کند. این اولین مورد از باج افزارهاست که چنین روش تهاجمی را اتخاذ کرده است.
- تجزیه و تحلیل
پس از نصب موفقیت آمیز، بدافزار برای به دست گرفتن مدیریت دستگاه تلاش خود را آغاز می کند.این ترفند توسط طراحان بدافزار های اندروید بارها و بارها استفاده شده است ، تا جاییکه حذف بدافزار را بسیار سخت می کند.نسخه ی اولیه ی خانواده ی Android/lockerpin.A به همین ترتیب و با اتکا بر میل و رغبت کاربران برای فعال سازی elevated privileges عمل می کردند.
در نسخه های اخیر، تروجان حق مدیریت دستگاه را مخفیانه به دست می آورد. پنجره ی فعال سازی با پنجره ی تروجان مخربی که به نظر می رسد وصله ی به روز رسانی نرم افزار نصب شده می باشد ، همراه شده است. زمانیکه قربانی بر روی فایل مورد نظر کلیک کند، کنترل مدیریت دستگاه به صورت خودکار و در یک پنجره ی مخفی فعال می شود.
پس از انتخاب گزینه ی” ادامه” دستگاه کاربر از کار می افتد. بدافزار کنترل دستگاه را به دست گرفته و می تواند آن را قفل سازد و حتی بدتر از آن می تواند pin code گوشی را تغییر دهد.
پس از آن، از کاربر تقاضای پرداخت مبلغ 500 دلار آمریکا ظرف مدت سه روز را میکند.
 |
 |
بعد از نمایش این هشدار ساختگی، صفحه نمایش قفل می شود. کاربر از طریق منوی safe mode یا ADB اقدام به حذف Android/lockerpin.A میکند. پس از هرنوع فعالیت باج افزارها، pin کد مجددا تنظیم می شود و نه مهاجم و نه قربانی نمی تواند رمز را باز کند، چراکه pin کد جدید به صورت تصادفی ساخته شده و در اختیار مهاجم نیز قرار نمیگیرد. در این وضعیت تنها راه حل موجود برگرداندن تنظیمات تلفن همراه به تنظیمات کارخانه می باشد آن هم اگر دستگاه اصطلاحا روت نشده باشد.
- self-defense Locker
نه تنها این باج افزار کنترل دستگاه را مخفیانه به دست می گیرد بلکه از مکانیزم های دفاعی تهاجمی جهت حصول اطمینان از درستی عملیات نیز استفاده می کند. تلاش کاربر برای پایان دادن به این اقدامات با شکست مواجه خواهد شد، چراکه تروجان با تنظیم یک تماس تلفنی دسترسی به دستگاه مورد نظر را مجدد فعال می کند.
همانند اولین باری که دسترسی تروجان به دستگاه مورد نظر امکان پذیر می شود، با اقدامات کاربر جهت حذف آن، پنجره ی مدیریت دستگاه دوباره به کمک یک پنجره ی ساختگی همراه می شود.
انتخاب گزینه ی “ادامه” سطح دسترسی را مجدد فراهم می سازد.
به منظور ایجاد لایه ی اضافی حفاظتی، زمانیکه کاربر در تلاش برای حذف تروجان می باشد، باج افزار اقدام به نابودی فرایندهای AV می کند. تروجان به منظور تلاش برای حفاظت خود در برابر آنتی ویروس های ESET Mobile Security,Avast و Dr Web ، کدهایی برای خاموش کردن این آنتی ویروس ها در نظر گرفته است.
خوشبختانه با وجود مکانیزم های Self Protection این بدافزار قادر به حذف ESET Mobile Security نیست.
- باز کردن دستگاه
تنها راه حذف قفل صفحه نمایش به غیر از بازگردانی دستگاه به تنظیمات کارخانه، زمانیکه دستگاه روت شده است، اتصال کاربر به کمک ADB به دستگاه خود بوده تا بتواند فایلی که حاوی رمز می باشد را حذف نماید.برای این منظور از منوی Settings -> Developer options -> USB Debugging استفاده می شود. حتی می توان از دستورات زیر نیز استفاده کرد:
> adb shell
> su
> rm /data/system/password.key
در نتیجه کد یا رمز صفحه نمایش از بین رفته و کاربر اختیار دستگاه خود را به دست می آورد. در برخی موارد لازم است دستگاه مجدد روت شود.
نتیجه گیری
به گفته ی لوکاس اشتفانکو محقق ESET ، خوشبختانه این باج افزار با دانلود نرم افزار از Google play Store بر روی دستگاه کاربران نصب نمی شود بلکه از بازارهای شخص ثالث (warez forums or torrents) برای کاربران ارسال می شود. بهترین روش اجتناب از ابتلا به این باج افزار استفاده از راهکارهای پیشگیرانه می باشد.
حملات باج افزارها ، چه بر روی کامپیوترها و چه بر روی گوشی های تلفن همراه، یکی از مخرب ترین حملات اینترنتی به حساب می آیند. یکی از شایع ترین این کلاه برداری ها رمز گزاری فایل های کاربران و درخواست مبلغ مشخصی وجه به منظور رمز گشایی فایل ها می باشد.
توصیه ی اکید کارشناسان امنیتی به کاربران این است که به هیچ وجه مبلغی بابت این کلاه برداری ها پرداخت نکنند چرا که همانند بسیاری از موارد دیگر کلاه برداران زحمت تعمیر (fix) دستگاه قربانی را به خود نمی دهند و همچنین لازم است که آنتی ویروس به روز رسانی ها را دریافت کند.
ESET Mobile Security قادر به شناسایی و حذف این باج افزار می باشد.
منابع:
