لابراتوار کوییک هیل اخیراً یک بد افزار جدید اندروید از اندروید مارکت گوگل دریافت کرده است که آیکن آن شبیه Google+ app است.
این برنامهی خطرناک، اطلاعات GPS، تاریخچهی تماسها، پیامهای متنی و حتی مکالمات تلفنی را ذخیره وجمعآوری کرده و این اطلاعات را به یک سرور راه دور ارسال میکند.
این نرمافزار مخرب، بعد از نصب برای ماژولهای زیر حق دسترسی درخواست میکند:
PROCESS_OUTGOING_CALLS
INTERNET
ACCESS_GPS
ACCESS_COARSE_LOCATION
ACCESS_COARSE_UPDATES
ACCESS_FINE_LOCATION
READ_PHONE_STATE
READ_CONTACTS
WRITE_CONTACTS
ACCESS_WIFI_STATE
PERMISSION_NAME
SEND_SMS
READ_SMS
RECEIVE_SMS
WRITE_SMS
WAKE_LOCK
RECORD_AUDIO
WRITE_EXTERNAL_STORAGE
MODIFY_PHONE_STATE
DEVICE_POWER
ACCESS_NETWORK_STATE
ACCESS_WIFI_STATE
MODIFY_PHONE_STATE
DISABLE_KEYGUARD
WRITE_SETTINGS
DELETE_PACKAGES
KILL_BACKGROUND_PROCESSES
FORCE_STOP_PACKAGES
RESTART_PACKAGES
WRITE_APN_SETTINGS
همچنین ممکن است سرویسهای زیر را راهاندازی نماید:
AlarmService
CallLogService
CallRecordRegisterService
CallRecordService
CallsListenerService
CommandExecutorService
ContactService
EnvRecordService
GpsService
KeyguardLockService
LocationService
MainService
ManualLocalService
RegisterService
ScreenService
SendResultService
SmsControllerService
SmsService
SocketService
SyncContactService
UploadService
این ویروس همچنین قابلیت دریافت دستورات از راه دور و به صورت پیامهای متنی را دارا میباشد، البته نیاز است تا فرستنده از شماره از پیش تعریف شده “کنترل کننده” استفاده کند.
همچنین قادر به پاسخدهی خودکار تماسهای صوتی وارده میباشد. به این صورت که مانند یک منشی میتواند بجای شما پاسخگوی تماسهای شما باشد!
پیش از پاسخگویی به تماس، تلفن را به حالت سایلنت قرار داده و مانع گوش کردن و متوجه شدن کاربر تلفن میشود. این بدافزار پد شمارهگیر را مخفی کرده و صفحه نمایش جاری را به عنوان صفحهاصلی نمایش میدهد.
همانطور که در نوشتههای پیشین اشاره شد، بهترین روش برای مقابله با چنین بدافزارهایی، توجه به اعطای حقوق دسترسی درخواستی برنامهها و استفاده از برنامههای امنیتی جامع و کامل مانند کوییکهیل موبایل سکیوریتی بر روی موبایل میباشد.
این ویروس تحت عنوان Android.Nickispy.C توسط آنتیویروس کوییکهیل شناسایی میشود.
برای اطلاعات بیشتر از http://www.qhi.ir/androidmobile.asp بازدید نمایید.
با تشکر از ساندیپ برای آنالیز این بدافزار.
مرجع: سایت مطالب فنی و امنیتی