بدافزار جدید سارق کلیک های کاربران اندروید

کلیک - در دنیای کامپیوتری امروز بد افزارهایی که فایل های دستگاه های اندرویدی را هدف قرار می دهند روز به روز پیچیده تر می شوند. یکی از این نوع برنامه های جدید از روش های سرقت کلیک برای فریب کاربران استفاده می کند تا بتواند اختیارات مدیریتی آنها را به دست بیاورد.
سرقت کلیک روشی است که از دست‌کاری رابط کاربری استفاده می کند، به طوری که به حمله کنندگان اجازه می دهد کلیک های کاربران را سرقت کنند و از آن برای انجام فعالیت های غیر مجاز استفاده کنند. این روش اکثراً در حمله های اینترنتی استفاده می شود که در آن به تکنولوژی های مختلف اجازه ساخت دکمه های مخفی و قرار دادن آنها در بالای قسمت های ظاهراً بی خطر صفحات را می دهد.

به دلیل وجود سیستم مجوز دهی نرم افزاری بازدارنده در اندروید، نرم افزارهای باج گیری که سیستم عامل IOS را هدف قرار می دهند در مقایسه با سیستم عامل ویندوز، همیشه تاثیر گذاری کمتری بر سیستم اندروید داشته اند. برای مثال، بسیاری از تهدید های باج گیری اندرویدی اولیه فقط شامل یک پنجره ثابت هشدار بودند که با ترساندن کاربران آنها را مجبور به پرداخت جریمه های ساختگی می کردند. اکثر آنها خود را به جای سازمان های اجرای قانون جا می زدند و ادعا می کردند که دستگاه کاربران به دلیل داشتن محتویات غیر قانونی قفل شده است.
با گذشت زمان حملات شدیدتری انجام می شد، به طوری آنها که فایل های حافظه های ذخیره سازی اطلاعات را رمزگذاری می کردند و حذف آنها کار دشواری بود. اما در هر حال، برای این که این بدافزارها به هدف خود برسند نیازمند دسترسی به قسمت مدیریت دستگاه هستند.

فعال شدن این ویژگی نیازمند تایید دارنده دستگاه است، که این کار از طریق یک پیام ویژه مثل "فعال سازی مدیر دستگاه"، که بعد از نصب نرم افزار نمایش داده می شود، انجام می شود.. اکثر نرم افزارهای باج گیر که معمولاً خود را در قالب نرم افزارهای قانونی جا می زنند برای کسب تایید کاربران به مهندسی اجتماعی روی می آورند، برای مثال، ادعا می کنند برای ارائه یکی از عملکردهای مورد نظر نرم افزار به دسترسی بالاتر نیاز است.

طبق گفته پژوهشگران شرکت سیمنتک، سازندگان بدافزارهای باج گیر حملات خود را وارد مرحله جدیدی کرده اند. یک تهدید جدید به نام Android.Lockdroid.E می تواند از انواع پنجره های مختلفی که نرم افزارهای اندرویدی ایجاد می کنند سو استفاده کند.
وقتی بدافزار باج گیر Lockdroid.E نصب می شود، پیام های فعال سازی مدیر دستگاه را می سازد، همچنین یک پنجره TYPE_SYSTEM_ERROR را نمایش می دهد که دارای پیامی است که ادعا می کند یک محتوای اضافی دیگر در حال باز شدن است. اندروید این نوع پنجره خاص را بالاتر از تمام پنجره های دیگر نمایش می دهد، بنابراین پیام مدیر دستگاه را پوشش داده و از دیده شدن آن جلوگیری می کند.
بعد از چند ثانیه، نرم افزار پنجره دیگری را نمایش می دهد که از TYPE_SYSTEM_OVERLAY استفاده می کند و همچنین پیام مدیر دستگاه را پوشش می دهد. این پنجره دوم حاوی پیام " نصب خاتمه یافت" و دکمه " ادامه" است.

دکمه " ادامه" در واقع جعلی است، زیرا پنجره های TYPE_SYSTEM_OVERLAY طوری طراحی نشده اند که از کاربر ورودی هایی مانند کلیک یا دستورات لمسی دریافت کنند. اما در هر حال، این دکمه به طور کاملاً ماهرانه بر روی دکمه " تایید" پیام مخفی فعال سازی مدیر دستگاه قرار گرفته است.
به همین دلیل، وقتی کاربر دکمه " ادامه" را لمس می کند این عمل در حقیقت به پنجره مدیریت دستگاه در زیر آن دکمه منتقل می شود که در واقع دکمه " تایید" است.
با ارائه اندروید 5 (آب نبات چوبی)، این دو نوع پیام که مورد سو استفاده بدافرارهای باج گیر قرار می گرفتند، دیگر در بالای پیام های مجوز دهی سیستم، نمایش داده نمی شوند و همانند پیام های مدیریت دستگاه نمایش داده می شوند. با این وجود، خبر بد این است که طبق آمار Google Play، دو سوم دستگاه های اندرویدی از نسخه های اندروید پایین تر از نسخه 5 استفاده می کنند.
طبق نظر پژوهشگران شرکت سیمنتک، در فروشگاه Google Play بدافزار وجود ندارد و این بدافزارها ممکن است از طریق فروشگاه های نرم افزاری، انجمن ها یا سایت های torrent متفرقه دانلود شده باشند. کاربرانی که بر روی دستگاه آنها Google Play نصب شده باشد، از طریق قابلیت Verify Apps، از این بدافزار مصون می مانند، حتی اگر آن بدافزار از جایی غیر از Google Play دانلود شود. سیمنتک به کاربران توصیه می کند تا نرم افزارهای مورد نظر خود را فقط از فروشگاه های نرم افزاری معتبر دانلود کنند.

منبع: Pcworld