جوکر

محققان فضای مجازی، نمونه‌ی دیگری از دژافزارهای اندرویدی (جوکر) را کشف کردند که تحت پوشش برنامه‌های قانونی پنهان‌شده بودند تا به‌طور مخفی کاربران از همه‌جا بی‌خبر را برای خدمات پریمیوم و بدون اطلاع آن‌ها subscribe  ‌کنند.

در گزارشی که توسط Check Point در تاریخ ۹ جولای ۲۰۲۰ منتشر شده است، این دژافزار، به نام جوکر (یا Bread)، ترفند دیگری برای دور زدن سیستم حفاظتی فروشگاه  گوگل را پیدا کرده است: DEX موذی را که در داخل به‌عنوان رشته‌های رمزگذاری شده Base64 برنامه‌ قابل‌اجراست obfuscate می‌کند و روی دستگاه در معرض خطر بارگیری می‌کند.

پس از افشای مسئولانه‌ی این دژافزار توسط محققانCheck Point ، یازده برنامه‌ی (لیست شده در اینجا[۱]) موردنظر توسط گوگل از فروشگاه رسمی این شرکت در ۳۰ آوریل ۲۰۲۰ حذف شدند.

Aviran Hazum از Check Point که دژافزار Joker را کشف کرده است دراین‌باره گفت[۲]: “دژافزار جوکر برای کشف نشدن به‌صورت زیرکانه‌ای عمل می‌کند و باوجود سرمایه‌گذاری گوگل در افزودن سیستم حفاظتی به فروشگاه خود، نتوانسته این دژافزار را تشخیص دهد. اگرچه گوگل برنامه‌های مخرب را از فروشگاه گوگل حذف کرده است، اما ما کاملاً می‌توانیم انتظار داشته باشیم که جوکر دوباره با سیستم جدید سازگار شود.”

جوکر: یک خانواده‌ی کلاه‌برداری در مقیاس بزرگ

جوکر که اولین بار در سال ۲۰۱۷ کشف شد، یکی از رایج‌ترین انواع دژافزارهای اندرویدی است که به دلیل ارتکاب کلاه‌برداری در صورتحساب و قابلیت‌های جاسوسی آن بدنام شده است، ازجمله سرقت پیام‌های SMS، لیست‌های تماس و اطلاعات دستگاه.

کمپین‌های مربوط به جوکر سال گذشته جایگاه بیشتری پیدا کردند که تعدادی از برنامه‌های اندرویدی آلوده به این دژافزار توسط گروهCSIS Security ،Trend Micro ، Dr.Web و کاسپرسکی کشف شدند[۳-۶] که بارها و بارها روش‌های منحصربه‌فردی برای بهره‌برداری از شکاف در سیستم‌های امنیتی فروشگاه گوگل پیدا کردند[۷].

برای پوشاندن ماهیت واقعی خود، نویسندگان این دژافزار در پشت این عملیات در مقیاس بزرگ به روش‌های مختلفی متوسل شده‌اند، رمزگذاری برای پنهان کردن رشته‌ها از موتورهای آنالیز، بررسی‌های جعلی برای فریب کاربران برای بارگیری برنامه‌ها و روشی به نام نسخه سازی که یک نسخه‌ی پاک برنامه در فروشگاه گوگل برای ایجاد اعتماد در بین کاربران توزیع می‌شود و سپس کدهای موذی در مراحل بعدی از طریق به‌روزرسانی‌های برنامه به آن اضافه می‌شود.

تیم امنیتی و حفظ حریم خصوصی اندروید در اوایل سال جاری اعلام کرد[۸]: “ازآنجاکه فروشگاه رسمی گوگل خط‌مشی‌های جدیدی را ارائه کرده است و Google Play Protect دارای مقیاس‌های دفاعی است، برنامه‌های Bread مجبور شدند برای جستجوی شکاف‌ها، مرتباً به جستجو ادامه دهند. آن‌ها به‌نوعی از هر تکنیک مخفی‌کاری و obfuscation استفاده کردند و تلاش کردند تا شناسایی نشوند.”

از ژانویه‌ی سال ۲۰۲۰، گوگل بیش از ۱۷۰۰ برنامه ارسال‌شده به فروشگاه رسمی خود را طی سه سال گذشته که به این دژافزار آلوده شده بودند، حذف کرده است.

استفاده از مانیفست اندروید برای مخفی کردن پرونده DEX موذی

نوع جدیدی که توسط Check Point مشاهده شده است، همان هدف را دارد اما با استفاده از فایل مانیفست[۹] برنامه که از آن برای بارگیری یک فایل DEX رمزگذاری شده Base64 استفاده می‌کند، مورداستفاده قرار می‌گیرد.

نسخه دوم in-between که توسط Check Point شناسایی شده است، از تکنیکی مشابه برای مخفی کردن پرونده .dex به‌عنوان رشته‌های Base64 استفاده می‌کند، اما آن‌ها را به‌عنوان یک کلاس داخلی در برنامه‌ی اصلی اضافه می‌کند و آن را از طریق API های reflection لود می‌کند[۱۰].

Hazum در آنالیز خود دراین‌باره می‌گوید: “برای دستیابی به قابلیت اشتراک کاربران به خدمات حق بیمه بدون اطلاع و رضایت آن‌ها، جوکر از دو مؤلفه اصلی استفاده کرد، یک Notification Listener به‌عنوان بخشی از برنامه‌ی اصلی و یک پرونده dex پویا بارگذاری شده از سرور C&C برای انجام ثبت‌نام.”

علاوه بر این، این نوع مجهز به یک ویژگی جدید است که به مهاجم اجازه می‌دهد تا از راه دور یک کد وضعیت “کاذب” را از یک سرور C&C تحت کنترل خود صادر کند تا فعالیت‌های موذی را به حالت تعلیق درآورد.

درهرصورت، جدیدترین طرح جوکر نشان‌دهنده تهدیدی مهم نسبت به یادآوری چگونگی دژافزارهای اندرویدی مبنی بر تکامل مداوم است و باید به‌طور مستمر از خودمان محافظت کنیم.

برای کاربرانی که هر یک از برنامه‌های آلوده را نصب‌کرده‌اند، ارزش دارد که تاریخ و سابقه‌ی پرداخت‌های مالی خود را بررسی کنند تا ببینید آیا پرداخت مشکوکی وجود دارد که شما نمی‌شناسید یا خیر. همچنین، اطمینان حاصل کنید که مجوزها را برای هر برنامه نصب‌شده در دستگاه اندروید خود با دقت بررسی کنید.

منابع

[۱]https://docs.google.com/document/d/e/2PACX-1vSg8y-aR4VcGHMTbS2Tmo9KMNdXFYy1y7RVmSF8jx0OxhZKYKL9xwxl8J99SpVHvRcXiQfe3nBQtW7_/pub

[۲] https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick

[۳] https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451

[۴] https://blog.trendmicro.com/trendlabs-security-intelligence/fake-photo-beautification-apps-on-google-play-can-read-sms-verification-code-to-trigger-wireless-application-protocol-wap-carrier-billing

[۵] https://twitter.com/m0br3v/status/1186277932529942528

[۶] https://twitter.com/sh1shk0va/status/1188754354779672576

[۷] https://thehackernews.com/2020/02/android-adware-apps-banned.html

[۸] https://security.googleblog.com/2020/01/pha-family-highlights-bread-and-friends.html

[۹] https://developer.android.com/guide/topics/manifest/manifest-intro

[۱۰] https://www.oracle.com/technical-resources/articles/java/javareflection.html

[۱۱] https://thehackernews.com/2020/07/joker-android-mobile-virus.html