مراقب باشید! در صورت استفاده از نسخه رایگان CamScanner، یک برنامه بسیار محبوبPDF ساز برای تلفن همراه با بیش از ۱۰۰ میلیون بار دانلود در فروشگاهGoogle Play ، مهاجمان میتوانند از راه دور دستگاه اندروید شما را ربوده و دادههای ذخیرهشده روی آن را بدزدند.
بنابراین، برای اینکه در امان باشید، کافی است اکنون برنامه CamScanner را از دستگاه اندروید خود حذف کنید، زیرا گوگل قبلاً این برنامه را از فروشگاه رسمی خود حذف کرده است.
متأسفانه CamScanner اخیراً سرکش شده است زیرا محققان یک ماژول پنهان Trojan Dropper را درون این برنامه پیدا کردند که به مهاجمین از راه دور این امکان را میدهد که بدون اطلاع کاربران، مخفیانه برنامههای موذی را روی دستگاههای اندرویدی کاربران بارگیری و نصب کنند.
بااینحال، این ماژول موذی درواقع در کد برنامه اندرویدی CamScanner قرار ندارد. در عوض، بخشی از یک کتابخانه تبلیغاتی شخص ثالث است که اخیراً در برنامه Creator PDF معرفی شده است.
این دژافزار توسط محققان امنیتی کاسپرسکی کشف شده است. این مسئله پسازآن آشکار شد که بسیاری از کاربران CamScanner متوجه رفتار مشکوک آن شدند و نقدهای منفی را در چند ماه گذشته در فروشگاه Google Play ارسال کردند که این نشانگر وجود یک ویژگی ناخواسته است.
محققان دراینباره گفتند: “میتوان فرض کرد که دلیل اضافه شدن این دژافزار، مشارکت برنامه نویسان این برنامه با یک تبلیغکننده بوده است.”
تجزیهوتحلیل این ماژول موذی Trojan Dropper نشان داد که همان عنصر نیز قبلاً در برخی از برنامههای از قبل نصبشده در تلفنهای هوشمند چینی مشاهده شده بوده است.
محققان دراینباره هشدار دادند[۱]: “این ماژول در حقیقت منجر به استخراج و اجرای یک ماژول موذی دیگر از یک فایل رمزگذاری شده در منابع برنامه میشود.”
درنتیجه، صاحبان این ماژول میتوانند از یک دستگاه آلودهشده به نفع خود استفاده کنند، از طریق نمایش تبلیغات مزاحم برای قربانی گرفته تا دزدی پول از حساب کاربری آنها با شارژ اشتراکهای پرداختشده.”
محققان کاسپرسکی یافتههای خود را به گوگل گزارش دادند و گوگل بلافاصله برنامه CamScanner را از فروشگاه Play Store خود حذف کرد، اما آنها میگویند “به نظر میرسد که توسعهدهندگان این برنامه با جدیدترین نسخه CamScanner از شر این کد موذی خلاص شدهاند.”
باوجوداین، محققان به کاربران توصیه کردند فقط به خاطر داشته باشند که “نسخههای این برنامه برای دستگاههای مختلف متفاوت است، و برخی از آنها هنوز هم ممکن است حاوی کد موذی باشند.”
لازم به ذکر است که ازآنجاکه نسخه پرداختشده برنامه CamScanner شامل کتابخانه تبلیغاتی شخص ثالث و درنتیجه ماژول موذی نیست، تحت تأثیر قرار نمیگیرد و هنوز هم در فروشگاه Google Play موجود است.
اگرچه گوگل در چند سال اخیر تلاشهای خود را برای حذف برنامههای احتمالی مضر از فروشگاه Google Play افزایش داده و بررسیهای سختگیرانهتری برای برنامههای جدید اضافه کرده است، برنامههای قانونی میتوانند یکشبه سرکش شوند تا میلیونها کاربر خود را مورد هدف قرار دهند.
محققان دراینباره نتیجه گرفتند: “آنچه ما از این داستان میتوانیم یاد بگیریم این است که هر اپلیکیشنی حتی دانلود شده از فروشگاههای رسمی، حتی یک برنامه معروف، و حتی یک برنامه با میلیونها نقد مثبت، میتواند یکشبه به یک دژافزار تبدیل شود.”
بنابراین به شما توصیه میشود که همیشه یک برنامه آنتیویروس خوب را در دستگاه اندروید خود نگه دارید که بتواند چنین فعالیتهای مخربی را قبل از اینکه دستگاه شما را آلوده کند شناسایی و مسدود کند.
علاوه بر این، همیشه به نقدهای نوشتهشده توسط سایر کاربران که این برنامه را بارگیری کردهاند، نگاهی بیندازید و همچنین مجوزهای برنامه را قبل از نصب هر برنامه بررسی کنید و فقط مجوزهایی را تأیید کنید که با اهداف برنامه مرتبط هستند.
برای اطلاعات فنی بیشتر در مورد دژافزار Trojan Dropper که در CamScanner کشف شده است و لیست کاملی از شاخصهای سازش آن(۱) شامل هشهای MD5 و دامنههای سرور فرمان و کنترل آن، میتوانید به گزارش کاسپرسکی مراجعه کنید[۲].
منابع
[۱] https://www.kaspersky.com/blog/camscanner-malicious-android-app/28156
[۲] https://securelist.com/dropper-in-google-play/92496
[۳] https://thehackernews.com/2019/08/android-camscanner-malware.html
(۱) indicators of compromise (IOCs)
ثبت ديدگاه