گروه دانش و فن
تروجان «توردو» که مختص سرقت اطلاعات بانکی است، بارگذاری برنامهها از فروشگاههای غیرمعتبر امکان آلودگی و حمله را فراهم میکند.
در سیستم عامل اندروید دسترسی برنامههای عادی به منابع سیستمی محدود شده و برای دسترسی به اینگونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روشهای خاصی امکانپذیر است، ولی در صورتی که برنامهیی قابلیت دسترسی به این سطح را پیدا کند، به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود.
همچنین به دلیل اینکه در سیستم عامل اندروید برنامهها را میتوان از منابع مختلفی بارگذاری کرد، امکان بارگذاری برنامههای آلودهیی که در فروشگاههای غیرمعتبر وجود دارند زیاد است. این نرمافزارها در نگاه اول نرمافزارهای سالمی هستند که پس از نصب سعی در به دست آوردن سطح دسترسی بالا و ایجاد آلودگی یا سرقت اطلاعات دارند.
با توجه به گزارش مرکز ماهر (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) آزمایشگاه کسپراسکای (Kaspersky) در آغاز فوریه سال ۲۰۱۶، یک تروجان بانکداری روی سیستمهای اندروید تحت عنوان «توردو» (tordow) پیدا کرد.
نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید میدانستند. به همین دلیل قابلیتهای توردو بسیار بیشتر از سایر بدافزارهای بانکداری است و این موضوع میتواند باعث ایجاد حملات جدیدی از طرف مهاجمان شود.
روش نفوذ توردو
آلودگی به «توردو» با نصب یک برنامه معروف اتفاق میافتد. در این مورد خاص منظور نسخه اصل برنامهها نیست، بلکه کپیهایی که خارج از فروشگاه نرمافزار گوگلپلی برای دانلود وجود دارد مدنظر است.
این فروشگاهها اغلب مکانیسمی برای صحت اعتبار نرمافزارهای ثبتشده روی خود را ندارند. نویسندگان بدافزار، نسخههای اصلی برنامهها را دانلود و پیاده کرده، کد و فایلهای جدیدشان را به آنها اضافه میکنند.
سپس این فایلها را مجددا کامپایل کرده و در فروشگاههای نرمافزاری غیرمعتبر منتشر میکنند.
نتیجه برنامهیی است که بسیار به نسخه اصلی شبیه بوده و تمام کارهای نسخه اصلی را انجام میدهد و در عین حال کارایی مورد نظر حملهکننده را هم دارد.
پس از اجرای برنامه، کد اضافهشده به برنامه اصلی، فایل اضافهشده توسط مهاجم به منابع برنامه را رمزگشایی کرده و آن را اجرا میکند. فایل اجراشده با سرور حملهکننده تماس میگیرد و بخش اصلی توردو (که شامل لینک به فایلهای بیشتر برای دانلود، یک اکسپلویت برای گرفتن سطح دسترسی root، نسخههای جدیدتر بدافزار و... است) را دانلود میکند.
تعداد لینکها با توجه به قصد مهاجم میتواند متفاوت باشد. همچنین هر فایل دانلود شده، میتواند مولفه جدیدی را از سرور دانلود، رمزگشایی و اجرا کند.
درنتیجه دستگاه آلوده شامل چندین ماژول مخرب است که تعداد و کارایی آنها هم به قصد مالک «توردو» بستگی دارد. در هر صورت، مهاجم شانس این را دارد که از راه دور توسط فرستادن دستوراتی به دستگاه قربانی را کنترل کند.
در نتیجه، مهاجمین سایبری کاراییهای متفاوتی برای دزدیدن پول قربانیان توسط اجرای متدهایی که برای بدافزارهای بانکداری و باجافزارها قدیمی است، در اختیار دارند.
کارایی برنامه مخرب شامل فرستادن، دزدیدن و پاککردن SMSها، ضبط و مسدود کردن تماسها، چک کردن میزان پول، دزدیدن مخاطبها، تماس گرفتن، دانلود و اجرای فایلها، نصب و پاک کردن برنامهها، بلاک کردن دستگاه و نشان دادن یک صفحه وب مشخص که روی سرور مخرب قرار دارد، درست کردن و فرستادن لیستی از فایلها که روی دستگاه موجود است، فرستادن و تغییر نام فایلها و ریبوت کردن دستگاه میشود.
پیشنهاد تیمهای امنیتی این است که کاربران برنامهها را از منابع غیرمطمئن نصب نکنند و برای محافظت از دستگاههای اندرویدی از آنتی ویروس استفاده کنند.
همچنین یکی از راههای جلوگیری از نصب نرمافزار از منابع غیرمطمئن، غیرفعالسازی قابلیت unknown sources در قسمت Security از Setting سیستم عامل است.