در ابتدا تصور می‌شد تعداد کاربران اندرویدی که به‌طور اشتباه یک بدافزار را مستقیماً از Google Play Store دانلود و بر روی دستگاه خود نصب کرده‌اند، ۶۰۰٫۰۰۰ نفر باشد، اما این تعداد در حال حاضر به ۲٫۰۰۰٫۰۰۰ نفر رسیده است.

FalseGuide

بر طبق گفته محققان امنیتی شرکت Check Point، در حدود دو میلیون کاربر اندروید قربانی این بدافزار شده‌اند که در بیش از ۴۰ برنامه تقلبی راهنمایی برای بازی‌های معروف مانند Pokémon Go و FIFA Mobile در Google Play Store مخفی شده‌اند.

این بدافزار که توسط محققان شرکت Check Point به اسم FalseGuide نامیده شده است، یک botnet بی‌صدا در خارج از دستگاه‌های آلوده‌شده می‌سازد تا ابزارهای تبلیغاتی جعلی تحت موبایل را انتقال داده و یک درآمد تبلیغاتی برای مجرمان اینترنتی تولید کند.

نزدیک به ۲ میلیون کاربر اندروید آلوده‌شده‌اند!

درحالی‌که اعتقاد بر این بود که قدیمی‌ترین نسخه از FalseGuide در ماه فوریه ۲۰۱۷ بر روی Google Play آپلود شده است و راه خود را بیش از ۶۰۰٫۰۰۰ دستگاه در عرض ۲ ماه باز کرده است، آنالیزهای دقیق‌تر توسط محققان این امر را آشکار کرد که برنامه‌های آلوده شده بیشتری وجود دارند که تاریخ آن‌ها به نوامبر سال ۲۰۱۶ بازمی‌گردد.

محققان شرکت  Check Point در یک گزارش نوشته‌اند[۱]: “از تاریخ ۲۴ آوریل ۲۰۱۷، هنگامی‌که مقاله موردنظر برای اولین بار منتشر شد، محققان Check Point دریافتند که حمله FalseGuide  بسیار گسترده‌تر از آن چیزی است که تصور می‌شد. برنامه‌های که در تاریخ نوامبر ۲۰۱۶ در Google Play Store آپلود شدند نشان می‌دهند که این بدافزار به‌صورت موفقیت‌آمیز و بیش از ۵ ماه مخفی باقی‌مانده بوده است و به‌دفعات بسیار زیادی دانلود شده است.”

ارتباط روس‌ها با بدافزار FalseGuide

محققان شرکت  Check Point پنج نرم‌افزار دیگر را در Google Play Store کشف کردند که دارای بدافزار FalseGuide  بود و توسط Anatoly Khmelenko (ترجمه روسی نام Анатолий Хмеленко) تولید شده بودند.

همچنین اولین گروه از این نرم‌افزارهای مخرب توسط نام‌های روسی دو سازنده جعلی ارسال‌شده بودند. این نام‌ها عبارت بودند از Sergei Vernik و Nikolai Zalupkin که نشان می‌داد این بدافزار ریشه در روسیه دارد.

FalseGuide  تلاش می‌کند تا دستگاه‌های آلوده شده را به یک botnet تبدیل کرده و از این طریق به اپراتور خودش اجازه می‌دهد تا این دستگاه‌های آلوده شده را بدون اجازه صاحبانشان تحت کنترل خود گیرد.

FalseGuide  چگونه کار می‌کند؟

وقتی این بدافزار بر روی گوشی فرد قربانی دانلود می‌شود، FalseGuide در تلاش برای جلوگیری از پاک شدن توسط کاربر، درخواست داشتن مجوزهای مدیریتی از دستگاه موردنظر می‌کند.

Google Play

سپس این بدافزار خود را توسط Firebase Cloud Messaging ثبت می‌کند که یک سرویس پیام‌رسانی cross-platform است و به سازندگان برنامه‌ها اجازه می‌دهد تا پیام‌ و اطلاعیه‌های خود را ارسال کنند.

هنگامی‌که این سرویس ثبت شود، FalseGuide می‌تواند به مهاجمان اجازه دهد تا پیام‌هایی حاوی لینک‎های دارای بدافزارهای دیگر را ارسال کرده و این بدافزارها را بر روی دستگاه آلوده شده نصب کنند که درنهایت این کار مهاجمان را قادر می‌سازد تا تبلیغات pop-up غیرقانونی خارج از چارچوب را بر روی گوشی آلوده شده نمایش داده و تولید درآمد کنند.

بسته به اهداف از پیش تعیین‌شده، مهاجمان همچنین می‌توانند کدهای بسیار مخرب را به دستگاه آلوده شده تزریق کرده تا آن را root کنند یا از آن برای حملات DDoS استفاده کرده و یا حتی به شبکه‌های خصوصی نفوذ کنند.

گوگل برنامه‌های شامل این بدافزار مخفی شده را پاک کرده است، اما آیا گوشی شما به این بدافزار از قبل آلوده نشده بوده است؟

شرکت Check Point یک لیست کامل از برنامه‌های که شامل بدافزار FalseGuide بودند را منتشر کرده است که شامل برنامه‌های راهنمایی این بازی‌ها بوده است (لیست کامل در اینجا آورده نشده است):

FIFA Mobile, Criminal Case, Super Mario, Subway Surfers, Pokemon Go, Lego Nexo Knights, Lego City My City, Ninjago Tournament, Rolling Sky, Amaz3ing Spider-Man, Drift Zone 2, Dream League Soccer

محققان شرکت Check Point نسبت به FalseGuide  در ماه فوریه ۲۰۱۷ به گوگل هشدار داده بودند که بعدازاین تاریخ و بدون سروصدا این شرکت برنامه‎‌های دارای این بدافزار را از روی Play Store حذف کرده بود.

اما علی‌رغم حذف شدن این برنامه‌ها، این برنامه‎های مخرب به نظر می‌رسد که بر روی تعدادی از دستگاه‌ها همچنان فعال هستند و کاربران اندرویدی را نسبت به حملات سایبری در خطر قرار داده‌اند.

محققان شرکت  Check Point می‌گویند: “botnet های موبایل از اوایل سال ۲۰۱۶ به‌صورت نمایی در حال افزایش بوده و ازلحاظ کامل شدن و اثرپذیر بودن در حال پیشرفت هستند. این نوع از بدافزارها به‌گونه‌ای مدیریت می‌شوند تا Google Play را گول‌زده و خود را در ابتدا به‌عنوان یک برنامه غیر مخرب جا می‌زنند اما در حقیقت کد مخرب را پس از نصب شدن بر روی گوشی موردنظر دانلود می‌کنند.”

چگونه از خود در برابر این‌چنین بدافزارهایی محافظت کنید؟

یک سری دستورالعمل‌های استاندارد وجود دارند که شما برای آلوده نشدن باید از آن‌ها پیروی کنید:

  • همیشه برنامه‌هایی را دانلود کنید که توسط سازندگان مورد اعتماد و تأییدشده تولید شده‌اند و فقط از منابع مورد اعتماد نظیر Google play Store و Apple App Store آن‌ها را دانلود کنید.
  • همیشه قبل از نصب کردن برنامه‌‌ها مجوزهای نصب را تأیید کنید. اگر هر برنامه‌ای بیش از موارد موردنیاز از شما مجوزی درخواست کرد، آن برنامه را نصب نکنید.
  • یک آنتی‌ویروس خوب بر روی دستگاه خود داشته باشید که بتواند این‌چنین بدافزارهایی را قبل از آلوده کردن دستگاه شما، شناسایی و بلاک کند. همیشه این آنتی‌ویروس را به‌روزرسانی کنید.
  • نرم‌افزارها را از منابع شخص ثالث دانلود نکنید. اگرچه در این مورد، این بدافزار از طریق یک Play Store رسمی گسترش داده شده بود، اما بیشتر این‌گونه بدافزارها از طریق منابع غیررسمی و غیرقابل‌اعتماد گسترش می‌یابند.
  • از Wi-Fi Hotspotهای غیر ایمن و ناشناخته استفاده نکنید و هنگامی‌که از Wi-Fi خود استفاده نمی‌کنید، آن را خاموش کنید.
  • مراقب باشید که به چه نرم‌افزارهایی حق دسترسی مدیریتی می‌دهید. دسترسی مدیریتی قدرتمند است و می‌تواند به یک برنامه اجازه دهد تا کنترل کامل دستگاه شما را در دست گیرد.
  • هرگز بر روی لینک‌های موجود در SMS یا MMSهای فرستاده شده به گوشی موبایل خود کلیک نکنید. حتی اگر پست‌های ارسال شده قانونی به نظر می‌رسند، به‌طور مستقیم به وب‌سایت اصلی مراجعه کرده و هر به‌روزرسانی را قبل از انجام تأیید کنید.

 

منابع

[۱] http://blog.checkpoint.com/2017/04/24/falaseguide-misleads-users-googleplay

[۲] http://thehackernews.com/2017/04/android-malware-playstore.html