Trend Micro یک تروجان جدید کشف کرده که خیلی آزاردهنده است. البته اگر آن را تجزیه و تحلیل کنید می توانید آن را تشخیص داده و اجرایش را متوقف کنید. تحلیلگران امنیتی، بدافزار فوق به نام “ANDROIDOS_XAVIER.AXM” و یا به اختصار XAVIER را شناسایی کرده اند.
در واقع این یک کتابخانه آگهی است که بی سر و صدا اطلاعات کاربر را به یک سرور راه دور ارسال می کند. اما قسمت زننده آن روش اعمال کار و پنهان کردن فعالیت خود است.
XAVIER؛ بدافزار جدید اندروید که بی سر و صدا داده های شما را به سرقت می برد
اول از همه، در برنامه های نسبتاً بیضرر مانند آهنگهای زنگ و برنامه های ویرایش عکس، که بسیاری از آنها به نظر می رسد از آسیای جنوب شرقی نشات می گیرند، تعبیه می شوند. ترند میکرو بیش از ۸۰۰ برنامه مختلف شامل بدافزارهای مخرب را که در مجموع میلیون ها بار از Google Play دانلود شده اند، کشف کرده و که این موضوع فراگیر و گسترده است.
یکی دیگر از چیزهایی که ملاک موذی بودن بدافزار XAVIER است، راهی است که در برنامه گنجانده و کد شده است. ظاهراً هیچ کد خطرناکی در برنامه نیست، بنابراین زمانی که برای تصویب و تایید به فروشگاه ارسال می شود، هیچ زنگ خطری به صدا در نمی آید. با این حال، پس از دانلود کد های مخرب از یک سرور پنهان، برنامه می تواند نصب و اجرا شود. همه این اقدامات می توانند در پس زمینه و بدون اطلاع و یا رضایت کاربر باشند.
تحلیلگران همچنین می گویند که اگر دستگاه مسیریابی شده باشد، قابلیت نصب APK های دیگر نیز در حالت سکوت، وجود دارد.
XAVIER؛ بدافزار جدید اندروید که بی سر و صدا داده های شما را به سرقت می برد
Xavier (خاویر) برای اینکه حضور و اقداماتش را مخفی کند از رمزنگاری رشته و رمزگذاری داده های اینترنت استفاده می کند با این دو عمل، کارهای زیادی انجام می دهد. همچنین برای مطمئن شدن، چک می کند که بدافزار بر روی دستگاه تلفن (و نه یک شبیه ساز) نصب شده باشد.
وجود یک سیستم محافظ در خاویر، باعث می شود تشخیص قابلیت نفوذ و سرقت در آن مشکل باشد، چرا که این سیستم به فرار خاویر از هر دو تحلیل استاتیک و دینامیک کمک می کند.
اگر بدافزار XAVIER تشخیص دهد که در حال اجرا بر روی یک سخت افزار شبیه سازی شده است، خاموش می شود.
هنگامی که بر روی دستگاه نصب شد، بدافزار می تواند اطلاعات مختلفی در مورد گوشی و کاربر را منتقل کند. هرچند برخی از اطلاعات فرستاده شده مانند تولید کننده گوشی، زبان و کشور مبدا در ابتدا بی ضرر به نظر می رسند، با این حال، قدرت انتقال آدرسهای ایمیل و سایر اطلاعات نیز وجود دارد.
Trend Micro لیست کاملی از برنامه های مبتلا به بدافزار ارائه نکرده اما یک لیست از “برنامه های کاربردی که توسط گوگل در بدو انتشار حذف شده است” و شامل Hash هاست، وجود دارد.
تحلیل گران اولین اقدام برای پیشگیری و احتیاط در آلوده نشدن به بدافزار خاویر را اجتناب از نصب و استفاده از برنامه هایی با منابع ناشناس را پیشنهاد می کنند.
Trend Micro همچنین دارای یک خدمات اعتبار موبایل است که شما می توانید بر اساس نام برنامه و به جهت سنجش اعتماد، برای اسکن برنامه هایتان از آن استفاده کنید. همچنین برنامه های امنیتی TM در فروشگاه Google Play موجود است که می توانید نصب کرده و برای حفاظت دستگاه خود را از بد افزارهای مخرب، از آنها بهره بگیرید.
