تروجان جاسوسی از مکالمات در اندروید

ارسال شده در 2011/08/14 by وبلاگ كوييك‌هيل

به نظر می رسد که رشد بدافزار در اندروید روز به روز در حال افزایش است. ما یک بدافزار جالب دریافت کردیم که می تواند اطلاعات تاريخچه‌ي تماس ها و صدای ضبط شده ی همه مکالمات تلفنی را ذخیره کرده، و آنها را به شخص بزهکار ارسال نماید.

بسیاری از بدافزارهای پیشین اندروید بدین صورت عمل می کنند که با ارسال یک پیام کوتاه یا برقراری یک تماس تلفنی با شماره های دارای سرویس ویژه هزینه ی گزافی را به کاربران تلفن همراه تحمیل کرده و بدین ترتیب به راحتی به درآمد هنگفتی می رسند.

اما این تروجان خاص، صدای مکالمات را به فرمت AMR با اجازه دسترسي كه قبلاً توسط كاربر تاييد شده، ذخیره می نماید:

در زمان نصب برنامه، اين بدافزار مجوز دسترسي براي اجراي كارهاي زير درخواست مي‌كند:
دسترسي به موقعيت مكاني Cell-ID و WiFi
دسترسي به آپديت‌هاي Cell-ID و WiFi
دسترسي به موقعيت مكاني GPS
دسترسي به اطلاعات مرتبط با شبكه‌هاي WiFi
مجاز كردن دسترسي با سطح پايين مديريت نيروي الكتريسيته
مجاز كردن دسترسي فقط خواندني به وضعيت تلفن
مجاز كردن استفاده از PowerManager WakeLocks (قفل بيداري مديريت نيرو) براي نگه‌داشتن پردازشگر در حالت نيمه‌فعال (sleeping) يا صفحه‌ي نمايش در حالت كاهنده (dimming)
برقراري تماس تلفني بدون استفاده از واسط كاربري شماره‌گير (بنابراين كاربر از تماس‌هاي برقرار شده توسط اين تروجان بي‌خبر مي‌باشد)
مانيتورينگ، تغيير يا قطع تماس‌هاي خروجي كاربر
باز كردن سوكت‌هاي شبكه
خواندن پيام‌هاي SMS
خواندن اطلاعات ليست تماس و دفترچه تلفن كاربر
ذخيره صدا
ارسال پيامك
نوشتن (بدون خواندن) اطلاعات تماس كاربر
نوشتن پيام‌هاي SMS
نوشتن در حافظه‌هاي جانبي

وقتي تروجان اجرا شد، خود را براي اجراي هميشگي در زمان روشن شدن گوشي براي شنود، با خط فرمان زير ثبت مي‌كند:
android.permission.ACTION_BOOT_COMPLETED

همچنين اين بدافزار خطرناك ممكن است هر يك سرويس‌هاي زير را فعال نمايد:
GpsService
MainService
RecordService
SocketService
XM_SmsListener
XM_CallListener
XM_CallRecordService

اين برنامه يك SMS شامل كد IMEI گوشي تلفن به شماره تلفن زير ارسال مي‌كند:
15859268161

سپس اقدام به ثبت اطلاعات زير مي‌كند:
ليست شماره تلفن‌ها
اطلاعات موقعيت جغرافيايي GPS
پيام‌هاي SMS دريافتي
پيام‌هاي SMS ارسالي

اطلاعات فوق در كارت SD در مكان زير نوشته مي‌شوند:
/sdcard/shangzhou/callrecord/

اطلاعات جمع‌‌آوري شده از طريق پورت 2018 به سرور زير ارسال مي‌گردد:
jin.56mo.com

بهترين اقدام در برابر اين نوع از بدافزارها، توجه داشتن به اعطاي اجازه دسترسي به برنامه‌ها مي‌باشد. از خودتان بپرسيد كه آيا اين برنامه واقعاً نياز به اين قابليت‌ها دارد؟ اگر شك داريد، بگوييد نه! علاوه بر اينكه تشخيص اين موارد براي كاربران معمولي كمي دشوار به نظر مي‌رسد، تكنيك‌هاي برقراري امنيت نياز به تخصص، دانش و فعاليت گسترده دارد كه اين وظيفه بر عهده‌ي شركتهاي امنيتي مي‌باشد. اخيراً كوييك‌هيل اقدام به انتشار راهكار امنيتي ويژه اندرويد كرده است. كوييك‌هيل موبايل سكيوريتي  براي اندرويد اين تروجان را با نام Android.Nickispy.A شناسايي مي‌كند.

نويسنده: Shrinivas

این نوشته در عمومی, مقالات ارسال شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *