info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

یک بدافزار اندرویدی دیگر روی گوگل‌پلی!

خلاصه: یک بدافزار اندرویدی دیگر حدود ۴.۲ میلیون کاربر را در گوگل‌پلی آلوده کرد. این بدافزار که ExpensiveWall نامیده می‌شود به طور عمده در نرم‌افزار‌های رایگان ویرایش عکس و ویدیو یافت می‌شود. ExpensiveWall با برقراری ارتباط با سرور کنترل و فرمان یک کد جاوااسکریپت را بر روی دستگاه قربانی دانلود کرده و با استفاده از آن شروع یه ارسال پیام‌های جعلی می‌کند و با استفاده از شماره تلفن قربانی در سرویس‌های پرداخت آنلاین ثبت‌نام می‌کند.

حتی با وجود تلاش‌های بسیار گوگل، برنامه‌های مخرب به نحوی نرم‌افزار ضدبدافزار play Store را کنار زده و افراد را  با نرم‌افزار‌های مخرب آلوده می‌کنند. این اتفاق بار دیگر زمانی که ۵۰ برنامه‌ی مخرب موفق به ورود به فروشگاه Play Store شده و توسط ۴.۲ میلیون کاربر دانلود شدند افتاد. یکی از بزرگترین شیوع بدافزاری!

این برنامه‌های اندرویدی شامل یک پیلود بدافزاری هستند که به طور مخفیانه کاربران را برای سرویس‌های پرداخت آنلاین ثبت‌نام می‌کند و پیام‌هایی جعلی از تلفن همراه قربانی ارسال می‌کند. همه‌ی این‌ها بدون اجازه‌ی کاربران اتفاق می‌افتد.

این بدافزارتوسط محققان چک‌پوینت، ExpensiveWall نامیده شد، چراکه به طور عمده  در نرم‌افزار‌های رایگان تصویر زمینه و همچنین نرم‌افزار‌های ویرایش ویدیو و عکس یافت می‌شود.

در واقع ExpensiveWall نوع جدیدی از بدافزاری است که مکافی در اوایل امسال در Play Store کشف کرد، اما چیزی که ExpensiveWall را از نسخه‌های دیگر آن متمایز می‌کند، استفاده از یک تکنیک مبهم‌سازی پیشرفته است که در آن کد مخرب فشرده شده و سپس رمزنگاری می‌شود تا بتواند از نرم‌افزار ضدبدافزار Play Store فرار کند.

محققان گزارش‌هایی را در مورد این برنامه‌های مخرب به گوگل دادند و گوگل بلافاصله آن‌ها را حذف کرد، اما پس از چند روز بدافزار دوباره به Play Store بازگشت و بیش از ۵۰۰۰ دستگاه را پیش از اینکه حذف شود، آلوده کرد.

زمانی که ExpensiveWall بر روی دستگاه قربانی دانلود می‌شود، از کاربر درخواست اجازه‌ی دسترسی به اینترنت و ارسال و دریافت پیام می‌کند.

اینترنت توسط بدافزار برای متصل شدن دستگاه قربانی به سرور کنترل و فرمان مهاجم استفاده می‌شود و از این طریق اطلاعاتی مانند موقعیت، شناسه‌های سخت‌افزاری منحصربه‌فرد مانند آدرس‌های MAC و IP و همچنین شماره‌های IMSI و IMEI به سرور ارسال می‌شوند.

سپس سرور کنترل و فرمان، یک URL برای بدافزار ارسال می‌کند تا کد جاوااسکریپتی را که شروع به ارسال پیام‌های جعلی و استفاده از شماره تلفن قربانی برای ثبت‌نام در سرویس‌های پرداخت می کند، را دانلود کند. به گفته‌ی محققان چک‌پوینت هنوز مشخص نیست که چه مقدار سود با استفاده از پیام‌های ExpensiveWall عاید مهاجمان شده‌است.

نرم‌افزار‌های مخرب هرروز پیشرفته‌تر و پیچیده‌تر می‌شوند و کشف آن‌ها در Play Store بسیار رایج است. در ماه اخیر ۵۰۰ برنامه‌ی اندرویدی با قابلیت جاسوسی در Play Store یافته شد که توسط بیش از ۱۰۰ میلیون کاربر دانلود شده بود. در ماه جولای جاسوس‌افزاز Lipizzan در Play Store یافت شد که می‌توانست اطلاعات زیادی شامل پیام‌های متنی، تماس‌ها، ایمیل‌ها، عکس‌ها و ... را بدزد. در ماه ژوئن ۸۰۰ برنامه‌ی Xavier در Play Store کشف شد که میلیون‌ها بار توسط کاربران دانلود شد، همچنین یک ماه قبل‌تر از آن محققان حدود ۴۱ برنامه‌ اندرویدی را در Play Store یافتندکه با بدافزار judy پنهان شده و توانست حدود ۳۶ میلیون دستگاه اندرویدی را آلوده کند.

به هرحال گوگل اخیرا یک ویژگی امنیتی به نام Google Protect را فراهم کرده است، که از یادگیری ماشین و تحلیل برنامه‌ها برای حذف خودکار برنامه‌های مخرب از تلفن‌های هوشمند آلوده‌شده برای جلوگیری از آسیب‌رسانی بیشتر استفاده می‌کند. بسیاری از تلفن‌های همراه از یک نسخه‌ی قدیمی اندروید استفاده می‌کنند که این ویژگی را پشتیبانی نمی‌کند و بنابراین بسیاری از این دستگاه‌ها در معرض حملات بدافزاری قرار می‌گیرند.

بنابراین توصیه می‌شود که همیشه یک آنتی‌ویروس بر روی تلفن همراه خود داشته باشید تا برنامه‌های مخرب را قبل از اینکه دستگاه شما را آلوده کنند شناسایی و مسدود کند. همچنین همیشه برنامه‌های خود را به‌روزرسانی کنید.