info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

حذف ۵۰۰ برنامه جاسوسی چینی از گوگل‌پلی

خلاصه: بیش از ۵۰۰ نرم افزار موبایل اندرویدی توسط گوگل پلی مخرب شناسایی شده و از گوگل پلی حذف شده اند. این برنامه‌ها همگی با کمک یک SDK با نام Igexin توسعه داده شده‌اند. این SDK ممکن است کاربری‌های جاسوسی را به برنامه‌ها اضافه کنند.

 

یک  SDK به نام lgexin  که توسط یک شرکت چینی توسعه داده شده است ممکن است دارای ویژگی‌هایی مانند نصب بدافزار و به دست آوردن سوابق رویداد‌های یک دستگاه باشد.

محققین در شرکت امنیت موبایلی Lookout  می‌گویند در روز دوشنبه بیشتر از ۵۰۰ نرم افزار اندرویدی که از یک SDK به نام lgexin  استفاده می‌کردند بیشتر از ۱۰۰ میلیون بار دانلود شده‌اند. البته لازم به ذکر است که همه ی آنها شامل جاسوس افزار نام برده شده نبوده‌اند.

بازی‌های توسعه داده شده مخصوص نوجوان‌ها بین ۵۰ تا ۱۰۰ میلیون بار دانلود شده اند. این درحالی است که تمرکز بسیاری بر روی نرم افزار‌های شاملlgexin SDK بوده است.

همچنین شرکت  Lookout تشخیص داده است که نرم افزارهایی که در دسته‌های آب و هوا، رادیو‌های اینترنتی، ویرایش‌گرهای عکس، آموزشی، تندرستی،  تناسب اندام و مسافرتی هستند از این SDK  استفاده می‌کنند.

دو نفر از مهندسین امنیتی شرکت Lookout  می‌گویند با وجود اینکه در حال حاضر تعدادی از این نرم‌افزار‌ها نمی‌توانند جاسوس افزار‌های مخربی باشند ولی وجود  lgexinمی‌تواند بدین منظور مورد استفاده قرار گیرد.

این SDK و انواع مشابه آن معمولا توسط توسعه‌دهندگان نرم‌افزار استفاده می‌شوند و از آن‌ها برای اتصال به شبکه‌های تبلیغاتی برای ارائه خدمات و کسب درآمد استفاده می‌شود. این سرویس‌ها غالبا اطلاعاتی از کاربران را جمع آوری کرده که برای ارائه تبلیغات هدف‌مند براساس منافع خود مورد استفاده قرار می‌گیرند.

براساس گفته های Lookout  نویسندگاه بدافزار lgexin  از روندی استفاده کرده‌اند که درآن ابتدا نرم‌افزارهایی به ظاهر کاربردی و موثر را وارد بازارهای مختلف کرده، سپس بر روی دستگاهی بدافزار و یا کدهای مخرب را بارگذاری کرده‌اند.

به گفته ی Lookout منحصر به فرد بودن lgexin  به این خاطر است که قابلیت‌های مخرب آن توسط توسعه‌دهنده‌های آن نوشته نشده است حتی آن‌ها از نحوه‌ی کنترل و چگونگی فعال شدن بدافزار هم آگاهی ندارند. درعوض این فعالیت‌های مخرب از یک سرور تحت کنترل lgexin  آغاز می‌شوند.

در ادامه این شرکت می‌گوید که رفتارهای مشکوکی از این نرم‌افزار‌ها مشاهده کرده است زیرا آن‌ها با آی‌پی‌ها و سرورهایی که در گذشته برای ارایه نرم افزارهای مخرب شناخته شده بودند ارتباط داشته‌اند.

این جاسوس افزار فایل‌های رمزنگاری شده‌ی بزرگ را پس از ارسال درخواست‌هایی به یک REST API واقع در نقطه پایانی مورد استفاده‌ي Igexin SDK  بارگیری کرده است. دانلود فایل‌های رمزنگاری شده و تماس‌های موجود در دامنه‌ی com.igexin به طرف dalvik.system.DexClassLoader اندروید به منظور بارگذاری کلاس ها از یک فایل  .jar یا.apk  است که به گفته ی Lookout تجزیه و تحلیل بیشتر و عمیق‌تر بر روی نرم افزار‌های مخرب ممکن است مخفی شود.

به گفته ی محققین، توسعه‌دهندگان از نوع اطلاعاتی که امکان بارگذاری اطلاعات دستگاه‌ها از طریق SDK را داشته‌اند آگاه نبوده‌اند. نسخه‌های مخرب این SDK ابزاری را اجرا می‌کنند که از طریق آن می‌توانند کدهای دلخواه خود را از یک نقطه‌ی پایانی در http://sdk[.‎]‎open[.‎]‎phone[.‎]‎igexin[.‎]‎com/api.php بارگیری کنند. دستوراتی که از این نقطه ی پایانی ارسال می‌شوند باعث می‌شود این SDK  در حلقه افتاده و بارها و بارها دریافت و بارگذاری شود.

این قابلیت موجود در کلاس های دانلود کاملا تحت کنترل خارجی در زمان اجراست و ممکن است در هر لحظه تغییرکند و می‌تواند براساس هر عامل انتخاب شده توسط اپراتور از راه دور که روی دستگاه اجرا می‌شود کنترل ندارند و می‌توانند براساس هر عامل انتخاب شده توسط اپراتور سیستم از راه دور متفاوت باشد. کاربران و توسعه‌دهندگان نرم افزار پس از ارسال درخواست API از راه دور، دیگر کنترلی برروی آنچه که در دستگاه اجرا می‌شود ندارند.

علاوه بر انتقال خروجی‌های مرتبط با خاموش کردن یک دستگاه می‌توان از ابزار‌های دیگری نیز برای به ثبت رساندن عملکرد‌هایی مانند PhoneStateListener استفاده کرد که باعث ذخیره شدن زمان در طول برقراری ارتباط از طریق تماس می‌شود.

در همین حال، گوگل در پی اعلام دستاوردهای اخیرش، مخصوصا در کنفرانس های RSA و Black Hat به این موضوع نیز پرداخته است.

Adrian Ludwig مدیر امنیت اندروید در کنفرانس RSA اعلام کرد که شرکت گوگل در حال همکاری با سایر توسعه‌دهندگان به منظور پیداکردن نرم افزار‌هایی با رفتارهای مخرب می‌باشد.

به گفته‌ی گوگل این شرکت درحال تجزیه و تحلیل جوانب کسب و کار توسعه، بازخورد کاربر، کدنویسی و رفتار نرم افزار می‌باشد. پس از آن قصد دارد این ویژگی‌ها را با دیگر نرم افزار‌هایی که به ظاهر غیرمرتبط هستند ولی ممکن است مشکل ساز باشند نیز مقایسه کند.

گوگل با استفاده از هوش مصنوعی تعداد نسخهظ هایی از برنامهظ ها ایجاد می‌کند که می‌توانند شباهت‌ها را شناسایی و اشتراک گذاری کنند. در مرحله‌ی بعد نرم‌افزارها و توسعه دهندگانی که احتمال رفتار‌های مخرب در آن‌ها زیاد است از چرخه حذف شده و افرادی که در واحد تجزیه و تحلیل هستند می‌توانند وجود یک مشکل امنیتی را تایید کنند.