بدافزار Godless
بدافزارGodless،توسط گروه ترند میکرو[1]
در قالب ANDROIDOS_GODLESS.HRXشناساییشده است.تاکنون، این بدافزار حدود ۸۵۰۰۰۰ گوشی (در میان 1.4 میلیارد گوشی اندروید) را آلوده کرده است.این بدافزار از آسیبپذیریهای موجود در سیستمعامل اندروید و نسخ 5.1 به قبل سوءاستفاده میکند.
کد مخرب این بدافزار، در برنامههای کاربردی متعددی – که برخی از آنها نیز توسط Google Play به کاربران ارائه میشوند- افزودهشده است. با نصب این برنامهها، کد مخرب اجرا گردیده وآسیبپذیر بودن سیستمعامل گوشی بررسی میشود. در صورت وجود آسیبپذیری، بدافزار با سوءاستفاده از آسیبپذیریهای سطح ریشه - که در سیستمعامل اندورید کدهای سوءاستفاده از این آسیبپذیریها در گیتهاب[2] قرار دادهشده است [4]- سطح دسترسی برنامه را ارتقا میدهند و کنترل گوشی را در دست میگیرند. این بدافزار، هنگامیکه صفحه گوشی خاموش است، عملیات خود را انجام میدهد.
در نسخههای اولیه این بدافزار، پس از نصب در گوشی، لیستی از برنامههای موجود در Google Play را که در یک رشته رمز شده قرار داشت، نصب میکرد و با سوءاستفاده از حساب کاربری گوگل صاحب گوشی، اطلاعات کاربران را به سرقت میبرد؛ اما در نسخه جدید آن، بدافزار میتواند با سرور C&C خود در ارتباط باشد و دستورات را از سرور دریافت و اجرا کند.
1-سیستمهای آسیبپذیر
بدافزار Godless، امنیت سیستمعامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید میکند. در میان گوشیهای اندروید حاضر، 90 درصد گوشیها دارای سیستمعامل اندروید 5.1 و یا قبل از آن هستند. طبق نمودار 1، بیشترین تعداد گوشی آلودهشده به این بدافزار، به ترتیب در کشورهای هند و اندونزی مشاهدهشده است.این بدافزار، برای یافتن دسترسی سطح ریشه، از برخی آسیبپذیریهای موجود در سیستمعامل اندروید 5.1 و یا قبل آن و کدهای ارائهشده برای سوءاستفاده از آنها که در [۴] وجود دارند، استفاده میکند. دو آسیبپذیری که بیشتر استفاده میشود،CVE-2015-3636 و CVE-2014-3153 هستند.
نمودار 1- نمودار توزیع تعداد گوشیهایآلودهشده به بدافزار Godless
این بدافزار، بهصورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامههای کاربردی متفاوتی اضافهشده است. برنامههای کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آنها توسط Google Play ارائه میشوند. برخی از برنامههای کاربردی نیز بهطور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق میکنند تا برنامههای کاربردی مشخصی– که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.
برنامههای کاربردی که حاوی کد مخرب بدافزار Godless هستند در دو گروه ابزارهای اندرویدی مانند چراغقوه و یا Wifi و یا برنامههای سرگرمی ارائهشده توسط توسعهدهندگان چون بازیهای مشهور قرار دارند. برای مثال، برنامه کاربردی چراغ قوهای چون Summer Flashlightحاوی کد مخرب این بدافزار است. این برنامه کاربردی هماکنون از لیست برنامههای موجود در Google Playحذفشده است.
در جدول 1، لیستی از این برنامههای کاربردی که در قالب ابزار در سیستمعامل اندورید وجود دارند نامبرده شده است.
|
نام برنامه کاربردی مخرب |
چکیدهSHA1 |
نام بسته[3] |
|
Geometry Dash |
01b3e575791642278b7decf70f5783ecd638564d |
com.robtopx.geometryjump.admobpl |
|
uginMoboWiFi |
7ebdd80761813da708bad3325b098dac9fa6e4f5 |
com.foresight.wifiseeker |
|
WiFi Anywhere |
34b7b38ce1ccdd899ae14b15dd83241584cee32b |
com.foresight.wifianywhere |
|
MoboWiFi |
84c444a742b616bc95c58a85c5c483412e327c50 |
com.foresight.wififast |
|
MoboWiFi |
50450ea11268c09350aab57d3de43a4d5004b3a1 |
com.foresight.wififast |
|
MoboWiFi |
aed8828dc00e79a468e7e28dca923ce69f0dfb84 |
com.foresight.wififast |
|
MoboWiFi |
44e81be6f7242be77582671d6a11de7e33d19aca |
com.foresight.wififast |
|
MoboWiFi |
d57d17eb738b23023af8a6ddafd5cd3de42fc705 |
com.foresight.wififast |
|
Geometry Dash |
17e5be80a4ed583923937e41ea7c1f4963748d1f |
com.robtopx.geometryjump.tw |
|
Geometry Dash |
9f586480fbc745ee6b28bfce3f1abe4ff00d01b1 |
com.robtopx.geometryjump.tw |
|
Minecraft - Pocket Edition |
888f10677b65bf0a86cf4447a1ebc418df8a37e8 |
com.mojang.minecraftpe.admobplug in |
|
AndroidDaemon Frame |
74a55e9ea67d5baf90c1ad231e02f6183195e564 |
com.android.google.plugin.dameon |
|
Minecraft - Pocket Edition |
5900fabbe36e71933b3c739ec62ba89ac15f5453 |
com.mojang.minecraftpe.admobplug in |
جدول 1- نام و چکیده برنامههای حاوی کد مخرب بدافزارGodless
همچنین، در جدول 2، لیستی از برنامههای کاربردی در دسته سرگرمی که توسط توسعهدهندگان برنامههای اندروید ارائهشدهاند و حاوی کد مخرب بدافزار هستند، نشان دادهشده است.
|
نام برنامه کاربردی مخرب |
چکیده SHA1 |
نام بسته |
|
Live Launcher |
e70b1084e02d4697f962be4cc5a54fdb19ce780a |
homescreen.boost.launcher.free.small.theme |
|
Lock Screen |
a3e84c4b770ef7626e71c9388a4741804dc32c15 |
com.iodkols.onekeylockscreen |
|
多多每日壁纸 |
671fa9291bf465580ec1ea1e55ce8a5ce2d848c7 |
com.dotools.dtbingwallpaper |
|
多多每日壁纸 |
e10efdecab3998cba5236645b5966af6ff4162f1 |
com.dotools.dtbingwallpaper |
|
4 iDO Calculators |
57795c32f75a02a68b9a8acb5820eb039c083a16 |
com.ibox.calculators |
|
Live Launcher |
c74eb5fa1234620297330874bd23605158a890d2 |
homescreen.boost.launcher.free.small.theme |
|
FlashLight |
5d2a08d7c1f665ea3affa7f9607601ffae387e8b |
com.foresight.free.flashlight |
|
Easy Softkey |
416b1fe39eaaa4d83c7785d97e390d129dbea248 |
com.oeiskd.easysoftkey |
|
iDO Alarm Clock |
7809e1b6f85ee0fa7f0c2a3f1bfdc7fa668742bb |
com.dotools.clock |
جدول 2- نام وچکیده برنامههای حاوی کد مخرب بدافزارGodless
2- چگونگی رفع آسیبپذیری
یافتن دسترسی ریشه در سیستمعامل اندروید، عامل اصلی رخداد حمله توسط این بدافزار است. برنامه حاوی کد مخرب بدافزار، با سوءاستفاده از آسیبپذیریهای موجود در سیستمعامل اندروید، سطح دسترسی خود را به ریشه ارتقا میدهد. تغییر سطح دسترسی در اندروید، امکانات متنوعی را در اختیار برنامهها قرار میدهد که بسته به کاربرد، میتواند مزیت تلقی شود؛ اما اگر این سطح از دسترسی در اختیار بدافزار قرار گیرد، خطرناک است. لذا، رفع آسیبپذیریهایی که امکان تغییر سطح دسترسی به ریشه را میسر میکند، میتواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless و بدافزارهای مشابه باشد. در حال حاضر، آسیبپذیریهای مرتبط با یافتن سطح دسترسی ریشه، در نسخه 5.1 سیستمعامل اندروید رفع شده است و دستگاههای حاوی این نسخه باید بهروزرسانی شوند.
همچنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشیهای هوشمند اندرویدی، از نصب برنامههای کاربردی از بازارهای نامعتبر خودداری کنند؛ بنابراین پیشنهاد میشود از بازارهای معتبری چون Google Play و Amazonبرنامهها را خریداری و نصب کنند.
3- شیوه حمله
این بدافزار، بهصورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامههای کاربردی متفاوتی اضافهشده است. برنامههای کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آنها توسط Google Play ارائه میشوند. برخی از برنامههای کاربردی نیز بهطور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق میکنند تا برنامههای کاربردی مشخصی – که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.
برنامه کاربردی که حاوی کد مخرب بدافزار Godless است، از یک آسیبپذیری کتابخانهای به اسم libgodlikelib.so استفاده میکند. این کتابخانه، خود از کدهای ارائهشده در [4] برای سوءاستفاده از آسیبپذیریهایی که توسط ابزارهای تغییر سطح دسترسی به ریشه هستند استفاده میکند. بدافزار، پس از یافتن کتابخانه مربوطه و یافتن سطح دسترسی ریشه در قالب یک برنامه کاربردی سیستمی به فعالیت خود ادامه میدهد.
شکل 1- بخشی از عملیات بدافزار Godless در یافتن کتابخانه آسیبپذیر
این برنامه مخرب، پس از نصب بر روی گوشی قربانی صبر میکند تا صفحه گوشی تلفن همراه خاموش شود و سپس، عملیات مخرب خود را اجرا کرده و با سوءاستفاده از آسیبپذیریهای موجود در سیستمعامل اندروید، دسترسی سطح ریشه را مییابد. رشته رمز شدهAES با نام __imageدر این برنامهها حاوی کد مخرب اجرایی بدافزار استکه پس از تغییر سطح دسترسی برنامه مخرب به سطح دسترسی ریشه اجرای میشود.
شکل 2- کد بررسی خاموش بودن صفحه گوشی همراه
اخیراً، نوع جدیدی از بدافزار Godlessشناساییشده است که رشته مخرب در برنامه کاربردی مخرب قرار نمیگیرد، بلکه، از طریق سرور C&C، دستورات لازم به برنامه کاربردی مخرب ارسال میشود. این سرور، در آدرس hxxp://market[.]moboplay[.]com/softs[.]ashx قرار دارد.
4- جمعبندی
بدافزار Godless، امنیت سیستمعامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید میکند. در میان گوشیهای اندروید حاضر، 90 درصد گوشیها دارای سیستمعامل اندروید 5.1 و یا قبل از آن هستند.این بدافزار، از آسیبپذیریهای موجود در هسته سیستمعامل اندروید سوءاستفاده کرده و سطح دسترسی برنامه مخرب را از کاربر به ریشه تغییر میدهد. پس از یافتن سطح دسترسی ریشه، بدافزار به اطلاعات شخصی و دادههای سطح ریشه در سیستمعامل اندروید دسترسی مییابد و کنترل گوشی را به عهده میگیرد. رفع آسیبپذیریهایی که امکان تغییر سطح دسترسی به ریشه را میسر میکند، میتواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless و بدافزارهای مشابه باشدهمچنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشیهای هوشمند اندرویدی، از نصب برنامههای کاربردی از بازارهای نامعتبر خودداری کنند.
[1]Trendmicro
[2]Github
[3]Package