یک تروجان خطرناک و جدید اندرویدی با نام Golem (نوعی از ویروس Ghost Push) کشف شده است که به سرعت در سراسر جهان در حال گسترش می باشد.
این تروجان توسط آزمایشگاه تحقیقات امنیتی Cheetah Mobile کشف شده و می تواند دستگاه ها را از راه دور کنترل و به طور خودکار برنامه ها را بدون رضایت کاربر راه اندازی و اجرا نماید. هر بار که Golem فعال می شود، برای راه اندازی برنامه ها و شبیه سازی اقدامات کاربر (ازجمله Tapping، Sliding و Scroll نمودن صفحه تلفن همراه)، کد دستوری بروز رسانی شده را از سرور دانلود می کند.
استفاده زیاد از داده های شبکه، قدرت باتری و منابع داخلی دستگاه و همچنین کم کردن سرعت تلفن های همراه، رفتارهای مخربی هستند که در پی آلوده شدن به این ویروس برای کاربران هزینه های گزافی را در بر خواهند داشت. حرکت خودکار کاربر Golem برای Swipping و Scrolling، می تواند در موارد تقلبی آگهی ها مورد استفاده قرار گیرد. به طور مثال، اگر هکرها یک دلار جهت نصب یک برنامه ارتقایی در یک دستگاه دریافت کنند، ممکن است قادر باشند درصورتیکه برنامه باز و استفاده شده باشد، ۲ دلار یا بیشتر به دست آورند. گسترش این تروجان در مراحل اولیه ۴۰٫۰۰۰ کاربر اندرویدی را آلوده کرده است.
Cheetah Mobile در یک بررسی اجمالی توضیح میدهد که این تروجان چگونه عمل می کند:
“این مسئله برای توسعه دهندگان اندروید امری بدیهی محسوب می شود که تمامی دستگاه های اندروید با یک ابزار دستوری سیستمی به نام Input بارگیری شده اند. ابزار دستوری سیستمیِ Input به منظور کمک به توسعه دهندگان در انجام آزمایش های خودکار طراحی شده است و عمدتاً برای ارسال دستورات، جهت شبیه سازی عملیات در سراسر دستگاه ها مورد استفاده قرار می گیرد. به طور کلی برنامه های قانونی، حق دسترسی برای اجرای این ابزار را ندارند امّا بدافزارهای دارای حق دسترسی Root ، قادرند از آن استفاده کنند.
تروجان Golem تروجان Golem حق دسترسی Root را به دست می آورد و یک Backdoor برای نفوذ به این ابزار برای Golem ایجاد می کند. در واقع، Golem می تواند کد های دستوری همچون Tap، Swipe و Press را از سرور بیرون بکشد و این کدها را برای به کار انداختن خودکار برنامه ها با دستور Input اجرا نماید.”
در واقع، Golem تروجان Golemعضو جدیدی از گروه تروجان های Ghost Push محسوب می شود و نقش بسیار مهمی در زنجیره سود بازار سیاه، بازی می نماید.
آزمایشگاه Cheetah می گوید: “در گزارشات قبلی در خصوص Ghost Push و زنجیره توزیع برنامه های مخفی آن، مکرراً اشاره کردیم که این گروه تروجان قادر هستند برنامه های ناخواسته و مزاحم را در دستگاه های آلوده شده، نصب نمایند. در حال حاضر که این رفتار مخرب، به فراتر از نصب کردن برنامه های بلااستفاده در دستگاه کاربران پیش رفته است، نوبت به آن رسیده که به جای کاربران، وارد عمل شویم.”
تاکنون، تقریباً تمامی کشورها تحت تأثیر این تروجان قرار گرفته اند ولی بیشترین مناطق تحت تأثیر هند و آسیای جنوب شرقی است. سه کشوری که بیشترین میزان آسیب پذیری را داشته اند عبارت اند از: هند، اندونزی و فیلیپین.
