هشدار محققان کسپرسکی: برخی تبلت‌های اندرویدی با بدافزار پنهان روانه بازار شده‌اند

بدافزار Keenadu در فرم‌ور تبلت‌های اندرویدی برخی برندها کشف شده و ظاهراً قابل حذف نیست. گوگل به این مسئله واکنش نشان داده است.

تصور کنید یک تبلت نو می‌خرید و به محض روشن‌کردن، بدون اینکه هیچ برنامه‌ای نصب کنید، جاسوسی از شما آغاز می‌شود. این اتفاق برای هزاران کاربر تبلت‌های اندرویدی رخ داده است. محققان امنیتی کسپرسکی نوع جدیدی از بدافزار به نام Keenadu را کشف کرده‌اند که مستقیماً در کارخانه و درون فرم‌ور برخی تبلت‌های اندرویدی جاسازی شده است. این یعنی دستگاه قبل از اینکه حتی به دست مشتری برسد، آلوده بوده است.

به گفته کسپرسکی، برخلاف بدافزارهای معمولی، Keenadu در لایه‌های بسیار عمیق اندروید این تبلت‌ها پنهان شده است. درواقع آلودگی در مرحله ساخت فرم‌ور رخ داده و پس از روشن‌شدن دستگاه، این بدافزار خود را به پروسه Zygote تزریق می‌کند (پروسه‌ای در اندروید که مسئول اجرای تمام اپلیکیشن‌هاست).

این موقعیت به هکرها دسترسی نامحدود می‌دهد تا:

• اپلیکیشن‌های مخرب بیشتری دانلود و نصب کنند.
• نتایج جستجوی مرورگر را تغییر دهند.
• تبلیغات ناخواسته نمایش دهند.
• داده‌های کاربر را سرقت کنند.

نکته نگران‌کننده این است که چون فایل‌های بدافزار در System Partition قرار دارند، حذف آنها برای کاربر غیرممکن است و فقط می‌توان آنها را (در صورت امکان) غیرفعال کرد. محققان توصیه کرده‌اند تا زمانی که آپدیت فرم‌ور تمیز برای دستگاه‌های آلوده منتشر نشده، کاربران از این دستگاه‌ها استفاده نکنند.

بدافزار پنهان در برخی تبلت‌های اندرویدی

تاکنون محققان وجود این بدافزار را در تمام نسخه‌های فرم‌ور تبلت Alldocube iPlay 50 mini Pro تأیید کرده‌اند. فایل‌های آلوده حتی دارای امضای دیجیتال معتبر بوده‌اند که نشان می‌دهد آلودگی در زنجیره تأمین و در مرحله کدنویسی رخ داده است. کسپرسکی گزارش داده که ۱۳ هزار و ۷۱۵ کاربر در سراسر جهان با این بدافزار مواجه شده‌اند. محققان همچنین ارتباطی میان این بدافزار و خانواده‌های بدنام بات‌نت اندرویدی مانند Triada ،BadBox و Vo1d پیدا کرده‌اند.

سخنگوی گوگل در بیانیه‌ای تأیید کرده که تمام اپلیکیشن‌های مخرب شناسایی‌شده در گزارش محققان از Google Play حذف شده‌اند:

«کاربران اندروید به‌طور خودکار در برابر نسخه‌های شناخته‌شده این بدافزار توسط سپر ایمنی گوگل پلی محافظت می‌شوند. این سیستم امنیتی می‌تواند اپلیکیشن‌هایی را که رفتار مرتبط با Keenadu دارند غیرفعال کند، حتی اگر از منابعی غیر از پلی استور نصب شده باشند.»

بنابراین، اگر دستگاه شما دارای خدمات گوگل است، حتماً از فعال‌بودن و به‌روز بودن Play Protect اطمینان حاصل کنید و از خرید برندهای متفرقه‌ای که پشتیبانی امنیتی شفافی ندارند، بپرهیزید.