برنامه‌های دزدیدن کلمه عبور فیس‌بوک بر روی فروشگاه رسمی گوگل پیدا شدند.

حتی پس از تلاش‌های زیادی که گوگل در سال گذشته انجام داد، همچنان برنامه‌های مخرب همیشه به نحوی موفق به باز کردن راه خود در فروشگاه رسمی گوگل می‌شوند.

محققان امنیتی اکنون نوع جدیدی از بدافزارها را در حداقل ۵۶ برنامه کاربردی در فروشگاه رسمی گوگل کشف کردند که GhostTeam نامیده شده‌اند و برای سرقت اطلاعات ورود به‌ حساب کاربری فیس‌بوک و نشان دادن pop-up های تبلیغاتی به کاربران طراحی شد‌ه‌اند.

این برنامه‌های مخرب که طور مستقل توسط دو شرکت سایبری Trend Micro و Avast کشف شده‌اند[۱و۲]، خود را به‌عنوان برنامه‌های مختلف (مانند چراغ‌قوه، اسکنر کدِ QR و قطب‌نما)، افزایش عملکرد (مانند انتقال‌دهنده فایل^(۱) و پاک‌کننده^(۲))، سرگرمی، شیوه زندگی^(۳) و برنامه‌های بارگیریِ ویدیو جا می‌زنند.

همانند بسیاری از برنامه‌های مخرب، این برنامه‌های اندرویدی خود دارای هیچ‌گونه کد مخربی نیستند و به همین دلیل آن‌ها موفق به کسب اجازه ورود به فروشگاه رسمی گوگل می‌شوند.

این بدافزار پس از نصب، ابتدا تأیید می‌کند که آیا دستگاه مورد هدف یک شبیه‌ساز یا یک محیط مجازی هست یا نه و سپس شروع به بارگیری payload بدافزار می‌کند، که باعث می‌شود قربانی مجوزهای مدیریت دستگاه را تأیید کند تا این بدافزار خود را بر روی دستگاه آلوده پایدار کند.

Avast گفت: “نرم‌افزار دانلود کننده، اطلاعات مربوط به دستگاه آلوده‌شده را جمع‌آوری می‌کند، مانند شناسه منحصربه‌فرد دستگاه، موقعیت مکانی، پارامترهای زبان و نمایش. محل دستگاه نیز از آدرس IP به دست می‌آید که در هنگام تماس با سرویس‌های آنلاین اطلاعات جغرافیایی را برای IP ها ارائه می‌دهند.

چگونه این بدافزار اندرویدی کلمه عبور حساب کاربری فیس‌بوک شما را می‌دزدد؟

به‌محض اینکه کاربران، برنامه فیس‌بوک خود را باز می‌کنند، این بدافزار بلافاصله آن‌ها را مجبور می‌کند که با ورود مجدد به فیس‌بوک، اطلاعات حساب کاربری خود را مجدداً تأیید کنند. به‌جای بهره‌برداری از آسیب‌پذیری‌های سیستم یا برنامه‌ها، این بدافزار به‌منظور انجام کارهای خود از یک نقشه فیشینگ کلاسیک استفاده می‌کند.

این برنامه‌های جعلی به‌سادگی یک کامپوننت WebView را با ظاهری شبیه به صفحه‌ی ورود به صفحه‌ی فیس‌بوک اصلی راه‌اندازی کرده و از کاربران می‌خواهند که وارد حساب کاربری خود شوند. ظاهراً، کد WebView نام کاربری و رمز عبور فیس‌بوک قربانی را می‌دزدد و آن‌ها را به یک سرور کنترل‌شده و از راه دور که توسط مهاجم کنترل می‌شود، می‌فرستد.

Avast دراین‌باره می‌گوید: “این به‌احتمال‌زیاد به دلیل استفاده توسعه‌دهندگان از مرورگرهای وب جاسازی‌شده (WebView، WebChromeClient) در برنامه‌هایشان است، که این کار را به‌جای باز کردن یک صفحه وب در مرورگر انجام می‌دهند.”

محققان Trend Micro هشدار می‌دهند که این اعتبارنامه‌های فیس‌بوک به سرقت رفته می‌تواند بعدها برای ارائه بدافزارهای مخرب بیشتر یا جمع‌آوری یک ارتش رسانه‌های اجتماعی برای انتشار اخبار جعلی یا تولید بدافزارهای mine کردن ارزهای رمزنگاری‌شده^(۴) مورد استفاده قرار گیرند.

حساب‌های فیس‌بوک به سرقت رفته همچنین می‌تواند اطلاعات مالی و شخصی افراد را معرض فروش در بازار‌های زیرزمینی قرار دهد.

شرکت‌های امنیتی بر این باورند که GhostTeam به‌واسطه استفاده قابل‌توجه از زبان ویتنامی در کدِ خود، به‌وسیله یک توسعه‌دهنده ویتنامی توسعه‌یافته و بر روی فروشگاه رسمی گوگل بارگذاری شده است.

به گفته محققان، بیشتر کاربران آسیب‌دیده از بدافزار GhostTeam در هند، اندونزی، برزیل، ویتنام و فیلیپین ساکن هستند.

علاوه بر سرقت اطلاعات حساب کاربری فیس‌بوک، بدافزار GhostTeam آگهی‌های pop up را توسط به‌طور مداوم بیدار نگه داشتن دستگاه آلوده با نشان دادن تبلیغات ناخواسته در پس‌زمینه، با شدت بالایی نمایش می‌دهد.

بعد از گزارش دادن این برنامه‌های مخرب به این شرکت، گوگل تمامی آن‌ها را از فروشگاه رسمی خود پاک کرده است. بااین‌حال کاربرانی که در حال حاضر این برنامه‌های مخرب را بر روی دستگاه خود نصب کرده‌اند باید از فعال بودن ویژگی Google Play Protect بر روی سیستم خود اطمینان حاصل کنند.

ویژگی امنیتی Play Protect از روش‌های فراگیری ماشین^(۵) و تجزیه‌وتحلیل میزان استفاده برنامه‌ها^(۶) برای حذف برنامه‌های مخرب از گوشی‌های هوشمند اندرویدی کاربران در تلاش برای جلوگیری از هرگونه آسیب بیشتر استفاده می‌کند.

اگرچه وجود داشتنِ برنامه‌های مخرب بر روی فروشگاه رسمی گوگل یک نگرانی بی‌پایان است، بهترین راهِ محافظت از خود این است که همیشه هنگام بارگیری برنامه‌ها مراقب باشید و همیشه مجوزها و نقدهای نوشته برای برنامه را قبل از بارگیری آن بررسی کنید.

علاوه بر این، به شما شدت توصیه می‌شود که یک برنامه آنتی‌ویروس خوب بر روی دستگاه تلفن همراه خود داشته باشید که می‌تواند قبل از اینکه دستگاه شما آلوده شود از چنین تهدیداتی جلوگیری کند و از همه مهم‌تر، همیشه دستگاه و برنامه‌های خود را به‌طور مرتب به‌روزرسانی کنید

منابع

[۱]https://blog.trendmicro.com/trendlabs-security-intelligence/ghostteam-adware-can-steal-facebook-credentials

[۲]https://blog.avast.com/downloaders-on-google-play-spreading-malware-to-steal-facebook-login-details

[۳] https://thehackernews.com/2018/01/facebook-password-hacking-android.html

(۱) file-transfer
(۲) cleaner
(۳) lifestyle
(۴) cryptocurrency-mining
(۵) machine learning
(۶) app usage analysis