انتزاع اولیه روی بدافزار جان سخت اندرویدی نشان داد مشکل مقاومت آن دربرابر بازیابی کارخانه ای، بود پوشهای حیات که نصب کنندهی تروجان در تو آن قرار داشت. پس از بازیابی کارخانهای دستگاه اندرویدی، فایل نصب و پوشه از بین نمیرفتند. بوسیله محض اسلوب اندازی مجدد دستگاه، فایل نصب کنندهی تروجان مجددا درِ پشتی امنیتی را گمارش میکرد. محققی که جزئیات مقدماتی بدافزار را منتشر کرد، اطلاعی از چگونگی اجرای این نوع مقاومت نداشت. حال جستجوگر امنیتی دیگری پس از چند ماه بررسی، جزئیات مقاومت بدافزار را منتشر کرده است. پیش از توضیح یافتههای جدید، مطلع ببینیم بدافزار xHelper چه کارهایی اجرا میدهد.بدافزار xHelper یا درِ پشتی با دسترسی بالا
نرم ادوات مخرب اندرویدی که شامل تروجان درِ پشتی میشود، با معین سرویسی برای بهبود کارایی دستگاه و پاک کردن فایلهای بی استفاده منتشر میشود. سرویس آنتی ویروس Malwarebytes نصب این اپلیکیشن را روی ۳۳ هزار مایه اندرویدی تأیید مییواش که اکثر آنها نیز در ایالات متحده استراحت دارد. سرویس آنتی ویروس دیگر که به غول روسی دنیای امنیت، یعنی کسپرسکی، تعلق دارد، تعداد دستگاههای آلوده را ۵۰ هزاره وسیله بیان میبطی ء. درنهایت، شواهدی بود ندارد که xHelper ازطریق گوگل پلی توزیع شده باشد.
بدافزار xHelper پس از نصب، درِ پشتی داخل وسیله آلوده انجام میکند. سپس، درِ پشتی اپلیکیشنهایی را از سرور مادون کنترل هکرها روی وسیله انتصاب میکند. به علاوه، درِ پشتی اقتدار اجرای دستورهایی با دسترسی کاربر سطح بالا (Superuser) را همچنین دارد. دسترسی این چنینی، توانهای نامحدودی در سطح سیستمیدراختیار بدافزار صبر میدهد. به علاوه، درِ پشتی به اطلاعات حساس کاربر نیز دسترسی محسوس مینرم که از میان آنها مینبوغ بوسیله کوکیهای مرورگر رمز کرد که بخاطر ورود خودکار به احصائیههای کاربری تو وب سایتها استفاده میشوند. پس از انتصاب درِ پشتی، اپلیکیشن مخرب و ظاهرساز آن از صفحهی اصلی گوشی و منو برنامهها حذف میشود و تنها در تنظیمات سیستم میقابلیت آن را رویت.
پست اطلاع رسانی فوریه را نیتان کالیر، محقق انبازی Malwarebytes، نوشته بود. او تحقیقات خویشتن را پس از گزارش کاربر فداکاری ارتکاب انصاف که بدافزار xHelper پس از دوبار پاک شدن بوسیله وسیلهی آنتی ویروس، بازهم در دستگاه اندرویدی او اجرا میشد و حتی پس از بازیابی کارخانهای دستگاه، بازهم بدافزار شروع بوسیله کار میکرد.
کالیر در نتایج تحقیق خویشتن خبردار شد انتصاب و اجرای مکرر بدافزار به دلیل بود فایل نصبی بوده است که تو پوشهای نهان در دستگاه قرار دارد. پوشهی مذکور با روشهای مرسوم پاک شدنی نبود و نحوهی ورود و کپی شدن پوشه در دستگاه آلوده نیز روبرو نمیشد. کالیر مقدمه تصور کرد پوشه به صورت پیش فرض و از مبدا در گوشی وجود داشته است؛ البته این انگارهی او بازهم چرایی ناتوانی آنتی ویروس در پاک کردن آن را نمودار نمیکرد. به علاوه، او نمیدانست چرا پس از پاک شدن احتمالی فایل برنگ خون یا بازیابی کارخانهای دستگاه، بازهم بدافزار گمارش میشود.بدافزاری بوسیله نام Triadaبدافزار با تو دست شهود کنترل سیستمی، خود را دربرابر هرگونه اقدام برای پاک کردن مقاوم میبطی ء
ایگور گالوین، جستجوگر آزمایشگاه امنیتی کسپرسکی، هفتهی گذشته مقالهای منتشر کرد که بوسیله بسیاری از استفسارها دربارهی بدافزار جان سخت پاسخ عدالت. او میگوید آلودگی مجدد مایهها به دلیل دانلود و نصب مجدد فایلها به وسیلهی تروجان مشهوری به نام Triada بوده است. این تروجان پس از انتصاب بدافزار xHelper روی دستگاه قربانی اجرا میشود. Triada ابتدا وسیله را روت و سپس با بهره گیری از دسترسیهای سیستمیسطح بالا، تعدادی فایل مخرب در پارتیشن سیستمینصب میکند. این روند با تغییر حالت پارتیشن سیستمیبوسیله نوشتن ایفا میشود. Triada برای منیع ترکردن فایلهای مخرب، «بارانی تغییرناپذیر» داخل مشخصات آنها اضافه میکند که عایق از پاک شدنشان حتی بوسیله مشت کاربر با دسترسی سطح بالا میشود. البته میتوان این صفت را با اجازه chattr پاک کرد.
فایلی به معروفیت install-recovery.sh فایلهای موجود در پوشهی /system/xbin را طلبیدن مییواش. این اقدام بوسیله بدافزار امکان میدهدبا هر بار بارگذاری مجدد دستگاه ایفا شود؛ درنتیجه به گفتهی گالوین، با آلودگی «جان ابدار» روبه رو میشویم که کنترل فوق العادهای روی جهیز قربانی دارد.
گالوین درون مصاحبهای با تشریح عملکرد بدافزار میگوید:آلوده شدن به xHelper آن چنان شاق نیست. دستگاههایی که با حملهی این بدافزار مواجه میشوند، احتمالا به حفاظهای امنیتی سیستمیمجهز نیستند و دربرابر گمارش این سنخ بدافزارها آسیب پذیر هستند. بوسیله علاوه پس از نصب بدافزار، پاک کردن آن برای کاربر بسیار دشوار میشود؛ درنتیجه، تعداد کاربران آلوده به xHelper احتمالا با سرعت اضافی افزایش رک میکند و بدافزار تا مدتی طولانی داخل مایههای قربانی باقی میماند.
جستجوگر امنیتی کسپرسکی ابتدا احتمال عدالت شاید با انتظام مجدد پارتیشن سیستمیبه حالت نوشتن، بتوان بدافزار را پاک کرد. البته او اندکی بعد نظریی خود را پس گرفت. گالوین دربارهی این نظریه میگوید:ترقی دهندگان Triada این راهکار را نیز بست کرده اند. آنها روش محافظتی دیگری برای فایل خود اجرا کرده اند که با تبدیل کتابخانهی سیستمی/system/lib/libc.so امکان پذیر شده است. این کتابخانه شامل کدهای مرسومیمیشود که تقریبا تمامیفایلهای اجرایی موجود تو مایه از آنها استعمال میکنند. Triada کدهای عام خود را برای عملکرد mount تو حافظهی سیستمیجایگزین کدهای پیش فرض میکند؛ درنتیجه، کاربر نمیتواند مجددا پارتیشن سیستمیرا بوسیله حالت نوشتن تغییر دهد.مقالههای مرتبط:بنیانی ترین رخدادهای امنیتی سایبری درون دهه اخیرآلودگی ۴۵ هزاره دستگاه اندرویدی به بدافزار xHelper
خوشبختانه رویه آلوده سازی دوباره که در مقالهی اخیر کشف شد، تنها روی دستگاههای اندرویدی حاضر بوسیله نسخههای باستانی جهیز عامل اجرا میشود که آسیب پذیریهای سطح روت دارند. بوسیله هرحال، گالوین هنوز احتمال میدهد در برخی موارد، شاید xHelper ازطریق فایلهای مخرب نصب شده به صورت پیش فرض در گوشی هوشمند خواه تبلت، درگاه خود را حفظ کردن مینرم.
کاربران قربانی میتوانند با استعمال از حالت Recovery گوشی هوشمند (درصورت وجود)، فایل مخرب libc.so را با فایل اصلی و پیش تخیل موجود در فرمور اصلی تعویض کنند. آنها سپس میتوانند فایلهای بدافزار را از پارتیشن سیستمیپاک یا برای اطمینان نهایی دستگاه را فلش کنند.
تحقیقات گالوین جزئیات بسیاری از روش هوشمندانهی آلوده سازی مایه را تطویل میدهد که شاید در حملههای مشابهی تو آینده استعمال شود. درواقع، چنانچه آسیب پذیریهای سطح روت جدید در نسخههای جدید اندروید پیدا شوند، شاید شاهد پیاده سازی حملههای امنیتی مشابه تو نسخههای جدید هم باشیم.بیشتر بخوانید:با ساده ترین نحوها بخاطر تحول کیبورد اندروید آشنا شویدآیفون SE 2020 دربرابر رقبای اندرویدی؛ میان ردهای با قوی ترین پردازنده بازارگوگل با به روزرسانی Camera Go عکاسی را در گوشیهای مفت قیمت بهبود میبخشدگوگل دیگر آمار توزیع نسخههای گوناگون اندروید را درون وب سایت خود منتشر نمیکندآمریکاییها در فصل شروع ۲۰۲۰ بیشتر بوسیله خرید گوشیهای اندرویدی تمایل داشته اند