محققان امنیتی ادعا کردند که احتمالاً بزرگترین کمپین بدافزاری را بر روی Google Play Store کشف کردهاند که در حال حاضر در حدود ۳۶٫۵ میلیون کاربرِ دستگاههای دارای سیستمعامل اندروید را توسط یک نرمافزار مخرب از نوع ad-click آلوده کرده است.
شرکت امنیتی Checkpoint در روز پنجشنبه ۲۵ می ۲۰۱۷ در گزارشی منتشر کرد که بیش از ۴۱ برنامه تحت اندروید که متعلق به یک شرکت کرهای هستند، بر روی Google Play Store وجود دارند که برای سازندگانشان از طریق کلیک کردن بر روی تبلیغات قلابی بر روی دستگاههای آلوده درآمدزایی میکنند[۱].
تمامی برنامههای مخرب، توسط شرکت کرهای Kiniwini تولید شده و با نام ENISTUDIO Corp منتشر شدهاند که حاوی یک برنامه adware به نام Judy هستند که با تولید کردن کلیکهای قلابی موجب درآمدزایی از تبلیغات میشوند.
علاوه بر این، محققان چندین برنامه دیگر را نیز کشف کردند که توسط یک سازنده دیگر بر روی Play Store منتشر شدهاند و شامل یک بدافزار مشابه در داخل خود هستند.
هنوز ارتباط بین این دو کمپین مشخص نشده است و محققان بر این باورند که یک سازنده کد این بدافزار را از سازنده دیگر دانسته یا ندانسته قرض گرفته است.
برنامههایی که در Play Store در دسترس هستند بهطور مستقیم شامل هیچ کد مخربی نیستند و این امر به این برنامهها کمک میکند تا سیستم حفاظتی Google Bouncer را دور بزنند.
هنگامیکه این برنامه مخرب دانلود میشود، بهصورت مخفیانه دستگاه کاربر را بر روی یک سرور command and control ثبت میکند و در جواب، این برنامه یک payload مخرب واقعی را دریافت میکند که شامل یک JavaScript است که فرآیند مخرب اصلی را شروع میکند.
محققان میگویند: “این بدافزار از یک عامل کاربری استفاده میکند که از یک مرورگر PC در یک صفحه وبِ مخفی تقلید کرده و یک تغییر مسیر را به یک وبسایت دیگر انجام میدهد. هنگامیکه وبسایت مورد هدف راهاندازی میشود، این بدافزار از یک کد جاوا اسکریپت استفاده میکند تا آگهیهای متعلق به زیر ساختار گوگل را پیدا کرده و بر روی آنها کلیک کند.
این برنامههای مخرب در حقیقت بازیهای قانونی هستند اما در پشتصحنه آنها بهعنوان یک پل برای اتصال دستگاه فرد قربانی به سرور adware مورد استفاده قرار میگیرند.
هنگامیکه این ارتباط برقرار میشود، این برنامههای مخرب عوامل کاربر را گول میزنند تا خود را بهعنوان یک مرورگر desktop جا زده تا یک صفحه را باز کرده و فرآیند کلیک کردن را آغاز کنند.
در اینجا فهرستی از برنامههای مخرب آورده شده است که توسط Kiniwini تولید شده و اگر شما هرکدام از آنها را بر روی گوشی خود نصب کردهاید، باید بهسرعت آن را پاک کنید:
- Fashion Judy: Snow Queen style
- Animal Judy: Persian cat care
- Fashion Judy: Pretty rapper
- Fashion Judy: Teacher style
- Animal Judy: Dragon care
- Chef Judy: Halloween Cookies
- Fashion Judy: Wedding Party
- Animal Judy: Teddy Bear care
- Fashion Judy: Bunny Girl Style
- Fashion Judy: Frozen Princess
- Chef Judy: Triangular Kimbap
- Chef Judy: Udong Maker – Cook
- Fashion Judy: Uniform style
- Animal Judy: Rabbit care
- Fashion Judy: Vampire style
- Animal Judy: Nine-Tailed Fox
- Chef Judy: Jelly Maker – Cook
- Chef Judy: Chicken Maker
- Animal Judy: Sea otter care
- Animal Judy: Elephant care
- Judy’s Happy House
- Chef Judy: Hotdog Maker – Cook
- Chef Judy: Birthday Food Maker
- Fashion Judy: Wedding day
- Fashion Judy: Waitress style
- Chef Judy: Character Lunch
- Chef Judy: Picnic Lunch Maker
- Animal Judy: Rudolph care
- Judy’s Hospital: Pediatrics
- Fashion Judy: Country style
- Animal Judy: Feral Cat care
- Fashion Judy: Twice Style
- Fashion Judy: Myth Style
- Animal Judy: Fennec Fox care
- Animal Judy: Dog care
- Fashion Judy: Couple Style
- Animal Judy: Cat care
- Fashion Judy: Halloween style
- Fashion Judy: EXO Style
- Chef Judy: Dalgona Maker
- Chef Judy: ServiceStation Food
- Judy’s Spa Salon
حداقل یکی از این نرمافزارها وجود دارد که آخرین بهروزرسانی آن در Play Store مربوط به آوریل سال گذشته (۲۰۱۶) بوده است و این بدان معنی است که این برنامههای مخرب بیش از یک سال است که در حال انتشار هستند.
گوگل در حال حاضر تمامی برنامههای مخرب ذکرشده را از Play Store حذف کرده است، اما ازآنجاکه سیستم حفاظتی Google Bouncer برای دور نگه داشتن اینگونه برنامهها از فروشگاههای رسمی نرمافزار کافی نیست، شما باید در دانلود کردن تمامی برنامهها بسیار دقت کنید.
منابع
[۱] http://blog.checkpoint.com/2017/05/25/judy-malware-possibly-largest-malware-campaign-found-google-play/
[۲] http://thehackernews.com/2017/05/android-adware-malware.html
ثبت ديدگاه