کشف شده است که بیش از ۸۰۰ برنامه مختلف اندرویدی که میلیونها بار از فروشگاه Google Play دانلود شدهاند، توسط یک کتابخانه تبلیغاتی مخرب آلوده شدهاند که بهطور مخفیانه اطلاعات حساس کاربران را جمعآوری کرده و میتواند فعالیتهای خطرناکی را انجام دهد.
این کتابخانه تبلیغاتی مخرب که Xavier نامیده شده است در ابتدا در ماه سپتامبر ۲۰۱۶ دیده شد که عضوی از خانواده بدافزارهای AdDown است و بهطور بالقوه تهدیدی علیه میلیونها کاربر اندروید بهحساب میآید.
ازآنجاکه ۹۰ درصد برنامههای اندرویدی برای تمامی کاربران رایگان هستند، تبلیغات در آنها یک منبع درآمدزایی برای سازندگان آنهاست. برای این کار، سازندگان برنامهها یک کتابخانه تبلیغاتی SDK را به برنامههایشان اضافه میکنند که بهطورمعمول بر روی عملکرد هسته این برنامهها تأثیری ندارد.
بر طبق گفته محققان امنیتی در شرکت Trend Micro، این کتابخانه تبلیغاتی مخرب بهصورت از قبل نصبشده بر روی طیف گستردهای از برنامههای اندرویدی قرار دارد که این برنامهها شامل برنامههای ویرایش عکس، تغییردهنده تصاویر پسزمینه و آهنگ زنگ، ردیابی تلفن، تقویتکننده صدا، بهینهساز رم و پخشکنندههای موسیقی و فیلم هستند[۱].
ویژگیهای بدافزار Xavier که نوعی بدافزار سارق اطلاعات است.
نسخههای قبلی کتابخانه تبلیغاتی Xavier نوعی ابزار تبلیغاتی مزاحم بود که دارای توانایی نصب کردن دیگرAPKها بهطور مخفیانه بر روی دستگاههای مورد هدف بود اما در آخرین نسخه منتشر شده، نویسنده این بدافزار این ویژگیها را با چند ویژگی دیگر که شامل موارد زیر است، جایگزین کرده است:
- فرار از تشخیص: Xavier بهاندازه کافی باهوش است تا از مورد آنالیز قرار گرفتن فرار کند و بدینصورت که از تمامی آنالیزهای بدافزاری دینامیک و استاتیک پنهان میماند و این کار را توسط بررسی اینکه این بدافزار در یک محیط کنترل شده در حال اجراست یا نه و از طریق رمزنگاری ارتباطات و دادهها انجام میدهد.
- اجرای کد از راه دور: این بدافزار بهگونهای طراحی شده است تا کدهای موردنیاز را از یک سرویسدهنده C&C راه دور دانلود کرده و به مهاجمان اجازه میدهد تا از راه دور هر کد مخربی را بر روی دستگاه مورد هدف اجرا کنند.
- ماژول دزدیدن اطلاعات: Xavier بهگونهای تنظیم شده است تا دادههای کاربران را که بر روی دستگاه مورد هدف ذخیره شده است را بدزدد که این اطلاعات شامل آدرسهای پست الکترونیک کاربران، شناسه دستگاه، مدل دستگاه، نسخه سیستمعامل، کشور، سازنده، اپراتور سیمکارت، وضوح تصویر و برنامههای نصبشده بر روی دستگاه است.
بر طبق گفته محققان، بیشترین تعداد قربانیان این بدافزار از کشورهای جنوب شرقی آسیا مانند ویتنام، فیلیپین و اندوزی بودند و تعداد کمی از دانلودها نیز از آمریکا و اروپا انجام شده است.
در اینجا فهرستی از ۷۵ برنامه آلوده شده که گوگل در حال حاضر از فروشگاه آنلاین خود حذف کرده است آورده شده است[۲] و اگر شما هرکدام از این نرمافزارها را بر روی دستگاه خود نصب کردهاید، به شما توصیه میشود که بلافاصله آن را از روی دستگاه خود پاک کنید.
بدافزارهای اندرویدی شروع به گسترش کرده و دارای قابلیتهای پیچیدهتر و جدیدتری شدهاند که تابهحال دیده نشده است. فقط در هفته گذشته، ما اولین بدافزار اندرویدی را دیدیم که دارای قابلیت تزریق کد بود و در فروشگاه آنلاین گوگل قرار داشت[۳].
چگونه از خود محافظت کنیم؟
راحتترین راه برای محافظت از خودتان در برابر مورد هدف قرار گرفتن توسط چنین بدافزارهایی مانند Xavier، این است که همیشه مراقب برنامههای کاربردی باشید، حتی اگر آنها را از فروشگاه رسمی گوگل دانلود میکنید و سعی کنید تنها از برنامههای متعلق به برندهای معروف استفاده کنید.
علاوه بر این، همیشه نقدهای گذاشته شده توسط دیگر کاربران را که درگذشته یک نرمافزار را دانلود کردهاند را بررسی کنید و مجوزهای برنامه را قبل از نصب کردن آن بهطور دقیق آنالیز کنید و تنها مجوزهایی را به برنامه مذکور بدهید که با اهداف آن در یک راستا باشند.
نکته آخر اینکه همیشه یک برنامه آنتیویروس مناسب و بهروز شده بر روی دستگاه خود داشته باشید که بتواند چنین بدافزارهایی را قبل از آلوده کردن سیستم شما تشخیص داده و بلاک کند.
منابع
[۱]http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android
[۲]https://documents.trendmicro.com/assets/appendix-analyzing-xavier-an-information-stealing-ad-library-on-android.pdf
[۳] https://apa.aut.ac.ir/?p=2669
[۴] http://thehackernews.com/2017/06/android-google-play-app-malware.html
ثبت ديدگاه