[[{"content_id":441827,"content_number":0,"portal_id":184,"lang_id":"fa","content_title":" بدافزار Godless","content_rtitr":"","content_short_title":null,"content_summary":"","content_summary_fill":0,"content_body":"بدافزارGodless،توسط گروه ترند میکرو[1]\r\n\r\nدر قالب ANDROIDOS_GODLESS.HRXشناسایی‌شده است.تاکنون، این بدافزار حدود ۸۵۰۰۰۰ گوشی (در میان 1.4 میلیارد گوشی اندروید) را آلوده کرده است.این بدافزار از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید و نسخ 5.1 به قبل سوءاستفاده می‌کند.\r\n\r\nکد مخرب این بدافزار، در برنامه‌های کاربردی متعددی – که برخی از آن‌ها نیز توسط Google Play به کاربران ارائه می‌شوند- افزوده‌شده است. با نصب این برنامه‌ها، کد مخرب اجرا گردیده وآسیب‌پذیر بودن سیستم‌عامل گوشی بررسی می‌شود. در صورت وجود آسیب‌پذیری، بدافزار با سوءاستفاده از آسیب‌پذیری‌های سطح ریشه - که در سیستم‌عامل اندورید کدهای سوءاستفاده از این آسیب‌پذیری‌ها در گیت‌هاب[2] قرار داده‌شده است [4]- سطح دسترسی برنامه را ارتقا می‌دهند و کنترل گوشی را در دست می‌گیرند. این بدافزار، هنگامی‌که صفحه گوشی خاموش است، عملیات خود را انجام می‌دهد.\r\n\r\nدر نسخه‌های اولیه این بدافزار، پس از نصب در گوشی، لیستی از برنامه‌های موجود در Google Play‌ را که در یک رشته رمز شده قرار داشت، نصب می‌کرد و با سوءاستفاده از حساب کاربری گوگل صاحب گوشی، اطلاعات کاربران را به سرقت می‌برد؛ اما در نسخه جدید آن، بدافزار می‌تواند با سرور C&C خود در ارتباط باشد و دستورات را از سرور دریافت و اجرا کند.\r\n\r\n1-سیستم‌های آسیب‌پذیر\r\n\r\nبدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند. طبق نمودار 1،  بیشترین تعداد گوشی آلوده‌شده به این بدافزار، به ترتیب در کشورهای هند و اندونزی مشاهده‌شده است.این بدافزار، برای یافتن دسترسی سطح ریشه، از برخی آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید 5.1 و یا قبل آن و کدهای ارائه‌شده برای سوءاستفاده از آن‌ها که در [۴] وجود دارند، استفاده می‌کند. دو آسیب‌پذیری که بیشتر استفاده می‌شود،CVE-2015-3636 و CVE-2014-3153 هستند.\r\n\r\n \r\n\r\n\r\n\r\nنمودار 1-  نمودار توزیع تعداد گوشی‌هایآلوده‌شده به بدافزار Godless\r\n\r\nاین بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی– که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.\r\n\r\nبرنامه‌های کاربردی که حاوی کد مخرب بدافزار Godless‌ هستند در دو گروه ابزارهای  اندرویدی مانند چراغ‌قوه و یا Wifi و یا برنامه‌های سرگرمی ارائه‌شده توسط توسعه‌دهندگان چون بازی‌های مشهور قرار دارند. برای مثال، برنامه کاربردی چراغ قوه‌ای چون Summer Flashlightحاوی کد مخرب این بدافزار است. این برنامه کاربردی هم‌اکنون از لیست برنامه‌های موجود در Google Playحذف‌شده است.\r\n\r\nدر جدول 1، لیستی از این برنامه‌های کاربردی که در قالب ابزار در سیستم‌عامل اندورید وجود دارند نام‌برده شده است.\r\n\r\n \r\n\r\n\r\n\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tنام برنامه ‌کاربردی مخرب\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tچکیدهSHA1\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tنام بسته[3]\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tGeometry Dash\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t01b3e575791642278b7decf70f5783ecd638564d\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.robtopx.geometryjump.admobpl\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tuginMoboWiFi\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t7ebdd80761813da708bad3325b098dac9fa6e4f5\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.wifiseeker\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tWiFi Anywhere\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t34b7b38ce1ccdd899ae14b15dd83241584cee32b\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.wifianywhere\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tMoboWiFi\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t84c444a742b616bc95c58a85c5c483412e327c50\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.wififast\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tMoboWiFi\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t50450ea11268c09350aab57d3de43a4d5004b3a1\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.wififast\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tMoboWiFi\r\n\t\t\t\r\n\t\t\t\r\n\t\t\taed8828dc00e79a468e7e28dca923ce69f0dfb84\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.wififast\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tMoboWiFi\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t44e81be6f7242be77582671d6a11de7e33d19aca\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.wififast\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tMoboWiFi\r\n\t\t\t\r\n\t\t\t\r\n\t\t\td57d17eb738b23023af8a6ddafd5cd3de42fc705\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.wififast\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tGeometry Dash\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t17e5be80a4ed583923937e41ea7c1f4963748d1f\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.robtopx.geometryjump.tw\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tGeometry Dash\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t9f586480fbc745ee6b28bfce3f1abe4ff00d01b1\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.robtopx.geometryjump.tw\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tMinecraft - Pocket Edition\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t888f10677b65bf0a86cf4447a1ebc418df8a37e8\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.mojang.minecraftpe.admobplug in\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tAndroidDaemon Frame\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t74a55e9ea67d5baf90c1ad231e02f6183195e564\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.android.google.plugin.dameon\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tMinecraft - Pocket Edition\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t5900fabbe36e71933b3c739ec62ba89ac15f5453\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.mojang.minecraftpe.admobplug in\r\n\t\t\t\r\n\t\t\r\n\t\r\n\r\n\r\n \r\n\r\nجدول 1- نام و چکیده برنامه‌های حاوی کد مخرب بدافزارGodless\r\n\r\n \r\n\r\nهم‌چنین، در جدول 2، لیستی از برنامه‌های کاربردی در دسته سرگرمی که توسط توسعه‌دهندگان برنامه‌های اندروید ارائه‌شده‌اند و حاوی کد مخرب بدافزار هستند، نشان داده‌شده است.\r\n\r\n \r\n\r\n\r\n\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tنام برنامه ‌کاربردی مخرب\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tچکیده SHA1\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tنام بسته\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tLive Launcher\r\n\t\t\t\r\n\t\t\t\r\n\t\t\te70b1084e02d4697f962be4cc5a54fdb19ce780a\r\n\t\t\t\r\n\t\t\t\r\n\t\t\thomescreen.boost.launcher.free.small.theme\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tLock Screen\r\n\t\t\t\r\n\t\t\t\r\n\t\t\ta3e84c4b770ef7626e71c9388a4741804dc32c15\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.iodkols.onekeylockscreen\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\t多多每日壁纸\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t671fa9291bf465580ec1ea1e55ce8a5ce2d848c7\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.dotools.dtbingwallpaper\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\t多多每日壁纸\r\n\t\t\t\r\n\t\t\t\r\n\t\t\te10efdecab3998cba5236645b5966af6ff4162f1\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.dotools.dtbingwallpaper\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\t4 iDO Calculators\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t57795c32f75a02a68b9a8acb5820eb039c083a16\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.ibox.calculators\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tLive Launcher\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tc74eb5fa1234620297330874bd23605158a890d2\r\n\t\t\t\r\n\t\t\t\r\n\t\t\thomescreen.boost.launcher.free.small.theme\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tFlashLight\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t5d2a08d7c1f665ea3affa7f9607601ffae387e8b\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.foresight.free.flashlight\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tEasy Softkey\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t416b1fe39eaaa4d83c7785d97e390d129dbea248\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.oeiskd.easysoftkey\r\n\t\t\t\r\n\t\t\r\n\t\t\r\n\t\t\t\r\n\t\t\tiDO Alarm Clock\r\n\t\t\t\r\n\t\t\t\r\n\t\t\t7809e1b6f85ee0fa7f0c2a3f1bfdc7fa668742bb\r\n\t\t\t\r\n\t\t\t\r\n\t\t\tcom.dotools.clock\r\n\t\t\t\r\n\t\t\r\n\t\r\n\r\n\r\n \r\n\r\nجدول 2- نام وچکیده برنامه‌های حاوی کد مخرب بدافزارGodless\r\n\r\n2- چگونگی رفع آسیب‌پذیری\r\n\r\nیافتن دسترسی ریشه در سیستم‌عامل اندروید، عامل اصلی رخداد حمله توسط این بدافزار است. برنامه حاوی کد مخرب بدافزار، با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، سطح دسترسی خود را به ریشه ارتقا می‌دهد. تغییر سطح دسترسی در اندروید، امکانات متنوعی را در اختیار برنامه‌ها قرار می‌دهد که بسته به کاربرد، می‌تواند مزیت تلقی شود؛ اما اگر این سطح از دسترسی در اختیار بدافزار قرار گیرد، خطرناک است. لذا، رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشد. در حال حاضر، آسیب‌پذیری‌های مرتبط با یافتن سطح دسترسی ریشه، در نسخه 5.1 سیستم‌عامل اندروید رفع شده است و دستگاه‌های حاوی این نسخه باید به‌روزرسانی شوند.\r\n\r\nهم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند؛ بنابراین پیشنهاد می‌شود از بازارهای معتبری چون Google Play‌ و Amazonبرنامه‌ها را خریداری و نصب کنند.\r\n\r\n3- شیوه حمله\r\n\r\nاین بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی – که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.\r\n\r\nبرنامه‌ کاربردی که حاوی کد مخرب بدافزار Godless‌ است، از یک آسیب‌پذیری کتابخانه‌ای به اسم libgodlikelib.so استفاده می‌کند. این کتابخانه، خود از کدهای ارائه‌شده در [4] برای سوءاستفاده از آسیب‌پذیری‌هایی که توسط ابزارهای تغییر سطح دسترسی به ریشه هستند استفاده می‌کند. بدافزار، پس از یافتن کتابخانه مربوطه و یافتن سطح دسترسی ریشه در قالب یک برنامه کاربردی سیستمی به فعالیت خود ادامه می‌دهد.\r\n\r\n \r\n\r\n\r\n\r\nشکل 1- بخشی از عملیات بدافزار Godless در یافتن کتابخانه آسیب‌پذیر\r\n\r\nاین برنامه مخرب، پس از نصب بر روی گوشی قربانی صبر می‌کند تا صفحه گوشی تلفن همراه خاموش شود و سپس،  عملیات مخرب خود را اجرا کرده و با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، دسترسی سطح ریشه را می‌یابد. رشته‌ رمز شدهAES با نام __image‌در این برنامه‌ها حاوی کد مخرب اجرایی بدافزار استکه پس از تغییر سطح دسترسی برنامه مخرب به سطح دسترسی ریشه اجرای می‌شود.\r\n\r\n \r\n\r\n\r\n\r\nشکل 2- کد بررسی خاموش بودن صفحه گوشی همراه\r\n\r\nاخیراً، نوع جدیدی از بدافزار Godlessشناسایی‌شده است که رشته مخرب در برنامه کاربردی مخرب قرار نمی‌گیرد، بلکه، از طریق سرور C&C، دستورات لازم به برنامه کاربردی مخرب ارسال می‌شود. این سرور، در آدرس hxxp:\/\/market[.]moboplay[.]com\/softs[.]ashx قرار دارد.\r\n\r\n4- جمع‌بندی\r\n\r\nبدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند.این بدافزار، از آسیب‌پذیری‌های موجود در هسته سیستم‌عامل اندروید سوءاستفاده کرده و سطح دسترسی برنامه مخرب را از کاربر به ریشه تغییر می‌دهد. پس از یافتن سطح دسترسی ریشه، بدافزار به اطلاعات شخصی و داده‌های سطح ریشه در سیستم‌عامل اندروید دسترسی می‌یابد و کنترل گوشی را به عهده می‌گیرد. رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشدهم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند.\r\n\r\n \r\n\r\n\r\n[1]Trendmicro\r\n\r\n[2]Github\r\n\r\n[3]Package\r\n\r\nتصاویر مرتبط","content_html":"

بدافزارGodless،توسط گروه ترند میکرو[1]<\/a><\/h4>\n\n

در قالب ANDROIDOS_GODLESS.HRXشناسایی‌شده است.تاکنون، این بدافزار حدود ۸۵۰۰۰۰ گوشی (در میان 1.4 میلیارد گوشی اندروید) را آلوده کرده است.این بدافزار از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید و نسخ 5.1 به قبل سوءاستفاده می‌کند.<\/p>\n\n

کد مخرب این بدافزار، در برنامه‌های کاربردی متعددی – که برخی از آن‌ها نیز توسط Google Play به کاربران ارائه می‌شوند- افزوده‌شده است. با نصب این برنامه‌ها، کد مخرب اجرا گردیده وآسیب‌پذیر بودن سیستم‌عامل گوشی بررسی می‌شود. در صورت وجود آسیب‌پذیری، بدافزار با سوءاستفاده از آسیب‌پذیری‌های سطح ریشه - که در سیستم‌عامل اندورید کدهای سوءاستفاده از این آسیب‌پذیری‌ها در گیت‌هاب[2]<\/a> قرار داده‌شده است [4]- سطح دسترسی برنامه را ارتقا می‌دهند و کنترل گوشی را در دست می‌گیرند. این بدافزار، هنگامی‌که صفحه گوشی خاموش است، عملیات خود را انجام می‌دهد.<\/p>\n\n

در نسخه‌های اولیه این بدافزار، پس از نصب در گوشی، لیستی از برنامه‌های موجود در Google Play‌ را که در یک رشته رمز شده قرار داشت، نصب می‌کرد و با سوءاستفاده از حساب کاربری گوگل صاحب گوشی، اطلاعات کاربران را به سرقت می‌برد؛ اما در نسخه جدید آن، بدافزار می‌تواند با سرور C&C خود در ارتباط باشد و دستورات را از سرور دریافت و اجرا کند.<\/p>\n\n

1-سیستم‌های آسیب‌پذیر<\/strong><\/h1>\n\n

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند. طبق نمودار 1،  بیشترین تعداد گوشی آلوده‌شده به این بدافزار، به ترتیب در کشورهای هند و اندونزی مشاهده‌شده است.این بدافزار، برای یافتن دسترسی سطح ریشه، از برخی آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید 5.1 و یا قبل آن و کدهای ارائه‌شده برای سوءاستفاده از آن‌ها که در [۴] وجود دارند، استفاده می‌کند. دو آسیب‌پذیری که بیشتر استفاده می‌شود،CVE-2015-3636<\/a> و CVE-2014-3153<\/a> هستند.<\/p>\n\n

 <\/p>\n\n

\"\"<\/p>\n\n

نمودار 1-  نمودار توزیع تعداد گوشی‌هایآلوده‌شده به بدافزار Godless<\/p>\n\n

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی– که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.<\/p>\n\n

برنامه‌های کاربردی که حاوی کد مخرب بدافزار Godless‌ هستند در دو گروه ابزارهای  اندرویدی مانند چراغ‌قوه و یا Wifi و یا برنامه‌های سرگرمی ارائه‌شده توسط توسعه‌دهندگان چون بازی‌های مشهور قرار دارند. برای مثال، برنامه کاربردی چراغ قوه‌ای چون Summer Flashlightحاوی کد مخرب این بدافزار است. این برنامه کاربردی هم‌اکنون از لیست برنامه‌های موجود در Google Playحذف‌شده است.<\/p>\n\n

در جدول 1، لیستی از این برنامه‌های کاربردی که در قالب ابزار در سیستم‌عامل اندورید وجود دارند نام‌برده شده است.<\/p>\n\n

 <\/p>\n\n
\n\t\t\t

نام برنامه ‌کاربردی مخرب<\/strong><\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

چکیده<\/strong>SHA1<\/strong><\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

نام بسته[3]<\/strong><\/a><\/strong><\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Geometry Dash<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

01b3e575791642278b7decf70f5783ecd638564d<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.robtopx.geometryjump.admobpl<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

uginMoboWiFi<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

7ebdd80761813da708bad3325b098dac9fa6e4f5<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.wifiseeker<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

WiFi Anywhere<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

34b7b38ce1ccdd899ae14b15dd83241584cee32b<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.wifianywhere<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

MoboWiFi<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

84c444a742b616bc95c58a85c5c483412e327c50<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.wififast<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

MoboWiFi<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

50450ea11268c09350aab57d3de43a4d5004b3a1<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.wififast<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

MoboWiFi<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

aed8828dc00e79a468e7e28dca923ce69f0dfb84<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.wififast<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

MoboWiFi<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

44e81be6f7242be77582671d6a11de7e33d19aca<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.wififast<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

MoboWiFi<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

d57d17eb738b23023af8a6ddafd5cd3de42fc705<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.wififast<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Geometry Dash<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

17e5be80a4ed583923937e41ea7c1f4963748d1f<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.robtopx.geometryjump.tw<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Geometry Dash<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

9f586480fbc745ee6b28bfce3f1abe4ff00d01b1<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.robtopx.geometryjump.tw<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Minecraft - Pocket Edition<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

888f10677b65bf0a86cf4447a1ebc418df8a37e8<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.mojang.minecraftpe.admobplug in<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

AndroidDaemon Frame<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

74a55e9ea67d5baf90c1ad231e02f6183195e564<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.android.google.plugin.dameon<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Minecraft - Pocket Edition<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

5900fabbe36e71933b3c739ec62ba89ac15f5453<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.mojang.minecraftpe.admobplug in<\/p>\n\t\t\t<\/td>\n\t\t<\/tr><\/tbody><\/table>

 <\/p>\n\n

جدول 1- نام و چکیده برنامه‌های حاوی کد مخرب بدافزارGodless<\/p>\n\n

 <\/p>\n\n

هم‌چنین، در جدول 2، لیستی از برنامه‌های کاربردی در دسته سرگرمی که توسط توسعه‌دهندگان برنامه‌های اندروید ارائه‌شده‌اند و حاوی کد مخرب بدافزار هستند، نشان داده‌شده است.<\/p>\n\n

 <\/p>\n\n
\n\t\t\t

نام برنامه ‌کاربردی مخرب<\/strong><\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

چکیده <\/strong>SHA1<\/strong><\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

نام بسته<\/strong><\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Live Launcher<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

e70b1084e02d4697f962be4cc5a54fdb19ce780a<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

homescreen.boost.launcher.free.small.theme<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Lock Screen<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

a3e84c4b770ef7626e71c9388a4741804dc32c15<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.iodkols.onekeylockscreen<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

多多每日壁纸<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

671fa9291bf465580ec1ea1e55ce8a5ce2d848c7<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.dotools.dtbingwallpaper<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

多多每日壁纸<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

e10efdecab3998cba5236645b5966af6ff4162f1<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.dotools.dtbingwallpaper<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

4 iDO Calculators<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

57795c32f75a02a68b9a8acb5820eb039c083a16<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.ibox.calculators<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Live Launcher<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

c74eb5fa1234620297330874bd23605158a890d2<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

homescreen.boost.launcher.free.small.theme<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

FlashLight<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

5d2a08d7c1f665ea3affa7f9607601ffae387e8b<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.foresight.free.flashlight<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

Easy Softkey<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

416b1fe39eaaa4d83c7785d97e390d129dbea248<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.oeiskd.easysoftkey<\/p>\n\t\t\t<\/td>\n\t\t<\/tr>

\n\t\t\t

iDO Alarm Clock<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

7809e1b6f85ee0fa7f0c2a3f1bfdc7fa668742bb<\/p>\n\t\t\t<\/td>\n\t\t\t

\n\t\t\t

com.dotools.clock<\/p>\n\t\t\t<\/td>\n\t\t<\/tr><\/tbody><\/table>

 <\/p>\n\n

جدول 2- نام وچکیده برنامه‌های حاوی کد مخرب بدافزارGodless<\/p>\n\n

2- چگونگی رفع آسیب‌پذیری<\/strong><\/h1>\n\n

یافتن دسترسی ریشه در سیستم‌عامل اندروید، عامل اصلی رخداد حمله توسط این بدافزار است. برنامه حاوی کد مخرب بدافزار، با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، سطح دسترسی خود را به ریشه ارتقا می‌دهد. تغییر سطح دسترسی در اندروید، امکانات متنوعی را در اختیار برنامه‌ها قرار می‌دهد که بسته به کاربرد، می‌تواند مزیت تلقی شود؛ اما اگر این سطح از دسترسی در اختیار بدافزار قرار گیرد، خطرناک است. لذا، رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشد. در حال حاضر، آسیب‌پذیری‌های مرتبط با یافتن سطح دسترسی ریشه، در نسخه 5.1 سیستم‌عامل اندروید رفع شده است و دستگاه‌های حاوی این نسخه باید به‌روزرسانی شوند.<\/p>\n\n

هم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند؛ بنابراین پیشنهاد می‌شود از بازارهای معتبری چون Google Play‌ و Amazonبرنامه‌ها را خریداری و نصب کنند.<\/p>\n\n

3- شیوه حمله<\/strong><\/h1>\n\n

این بدافزار، به‌صورت جداگانه و در قالب یک برنامه کاربردی مشخص وجود ندارد. بلکه، کد مخرب این بدافزار در برنامه‌های کاربردی متفاوتی اضافه‌شده است. برنامه‌های کاربردی که ظاهراً سالم به نظر رسیده و حتی برخی از آن‌ها توسط Google Play ارائه می‌شوند. برخی از برنامه‌های کاربردی نیز به‌طور مستقیم کد مخرب را ندارند اما پس از نصب، کاربر را تشویق می‌کنند تا برنامه‌های کاربردی مشخصی – که حاوی کد مخرب بدافزار Godless هستند- را نصب کند.<\/p>\n\n

برنامه‌ کاربردی که حاوی کد مخرب بدافزار Godless‌ است، از یک آسیب‌پذیری کتابخانه‌ای به اسم libgodlikelib.so استفاده می‌کند. این کتابخانه، خود از کدهای ارائه‌شده در [4] برای سوءاستفاده از آسیب‌پذیری‌هایی که توسط ابزارهای تغییر سطح دسترسی به ریشه هستند استفاده می‌کند. بدافزار، پس از یافتن کتابخانه مربوطه و یافتن سطح دسترسی ریشه در قالب یک برنامه کاربردی سیستمی به فعالیت خود ادامه می‌دهد.<\/p>\n\n

 <\/p>\n\n

\"\"<\/p>\n\n

شکل 1- بخشی از عملیات بدافزار Godless در یافتن کتابخانه آسیب‌پذیر<\/p>\n\n

این برنامه مخرب، پس از نصب بر روی گوشی قربانی صبر می‌کند تا صفحه گوشی تلفن همراه خاموش شود و سپس،  عملیات مخرب خود را اجرا کرده و با سوءاستفاده از آسیب‌پذیری‌های موجود در سیستم‌عامل اندروید، دسترسی سطح ریشه را می‌یابد. رشته‌ رمز شدهAES با نام __image‌در این برنامه‌ها حاوی کد مخرب اجرایی بدافزار استکه پس از تغییر سطح دسترسی برنامه مخرب به سطح دسترسی ریشه اجرای می‌شود.<\/p>\n\n

 <\/p>\n\n

\"\"<\/p>\n\n

شکل 2- کد بررسی خاموش بودن صفحه گوشی همراه<\/p>\n\n

اخیراً، نوع جدیدی از بدافزار Godlessشناسایی‌شده است که رشته مخرب در برنامه کاربردی مخرب قرار نمی‌گیرد، بلکه، از طریق سرور C&C، دستورات لازم به برنامه کاربردی مخرب ارسال می‌شود. این سرور، در آدرس hxxp:\/\/market[.]moboplay[.]com\/softs[.]ashx قرار دارد.<\/p>\n\n

4- جمع‌بندی<\/strong><\/h1>\n\n

بدافزار Godless، امنیت سیستم‌عامل اندروید در نسخ ۵.۱ و قبل از آن را تهدید می‌کند. در میان گوشی‌های اندروید حاضر، 90 درصد گوشی‌ها دارای سیستم‌عامل اندروید 5.1 و یا قبل از آن هستند.این بدافزار، از آسیب‌پذیری‌های موجود در هسته سیستم‌عامل اندروید سوءاستفاده کرده و سطح دسترسی برنامه مخرب را از کاربر به ریشه تغییر می‌دهد. پس از یافتن سطح دسترسی ریشه، بدافزار به اطلاعات شخصی و داده‌های سطح ریشه در سیستم‌عامل اندروید دسترسی می‌یابد و کنترل گوشی را به عهده می‌گیرد. رفع آسیب‌پذیری‌هایی که امکان تغییر سطح دسترسی به ریشه را میسر می‌کند، می‌تواند اولین گام برای جلوگیری از رخداد حملات توسط بدافزار Godless‌ و بدافزارهای مشابه باشدهم‌چنین، برای جلوگیری از خطرات احتمالی از این بدافزار، لازم است کاربران گوشی‌های هوشمند اندرویدی، از نصب برنامه‌های کاربردی از بازارهای نامعتبر خودداری کنند.<\/p>\n\n

 <\/p>\n\n

[1]<\/a>Trendmicro<\/p>\n\n

[2]<\/a>Github<\/p>\n\n

[3]<\/a>Package<\/p>\n\n

تصاویر مرتبط<\/h5>","content_source":"","content_url":"","content_date_start":"2016-08-09 08:31:28","content_date_event":"2016-08-09 08:31:28","content_date_event_start":null,"content_date_event_end":null,"content_show_title_slider":1,"content_date_last_edit":"2016-08-09 08:32:44","content_date_register":"2016-08-09 08:32:44","content_columns":0,"content_show_img":1,"content_show_details":0,"content_show_related_img":0,"content_show_slider":1,"content_comment":1,"content_score":0,"tag_id":0,"score_average":null,"score_count":null,"score_date_last":null,"uid":15356,"eid":0,"attach_title":null,"attaches":[{"sizes":{"150":".\/cache\/184\/attach\/201608\/48378_3667229626_150_100.webp","300":".\/cache\/184\/attach\/201608\/48378_3667229626_300_200.webp","400":".\/cache\/184\/attach\/201608\/48378_3667229626_400_267.webp","600":".\/cache\/184\/attach\/201608\/48378_3667229626_600_400.webp","900":".\/cache\/184\/attach\/201608\/48378_3667229626_750_500.webp","1200":".\/cache\/184\/attach\/201608\/48378_3667229626_750_500.webp"},"ext":"jpg","file_media":1,"token":3667229626,"files":{"original":{"url":".\/file\/184\/attach\/201608\/48378_3667229626.jpg","width":750,"height":500,"size":0}}}]}]]