یکی دیگر از بد افزار های اندرویدی ۴.۲ میلیون کاربر را آلوده کرد!
باوجود تلاش های زیاد از سوی گوگل، برنامه های مخرب موفق به دور زدن ضد تروجان پلی استور شدند و کاربران را با نرم افزارهای مخرب آلوده کردند.
همین اتفاق یک بار دیگر در یکی از بزرگترین شیوع های بد افزاری، زمانی که حداقل ۵۰ برنامه توانستند به فروشگاه Google Play دسترسی پیدا کرده و ۴.۲ میلیون بار نیز دانلود شدند ، رخ داد.
شرکت امنیتی Check Point روز پنج شنبه طی یک پست وبلاگ ، لیست حداقل ۵۰ اپلیکیشن اندرویدی رایگان در فروشگاه Play Store را که قبل از حذف توسط گوگل بین ۱ تا ۴/۲ میلیون بار دانلود شده بودند، منتشر کرد.
این برنامه های اندرویدی دارای کدهای مخرب پنهانی هستند که مخفیانه قربانیان را در خدمات پرداخت آنلاین ثبت نام می کنند ، سپس پیام های متنی جعلی را از تلفن های هوشمند قربانیان ارسال کرده و هزینه ها را بدون اطلاع یا اجازه کاربران می پردازند.
این بدافزار توسط محققان شرکت امنیتی Check Point “ExpensiveWall” نام گرفت زیرا در یک برنامه پس زمینه محبوب کشف شد. بد افزار به صورت مخفیانه در برنامه های رایگان ویرایش عکس و فیلم یا تصاویر پس زمینه فعالیت میکند. این نوع بد افزار گونه ای جدید از بد افزار ها محسوب میشود که شرکت مکافی در انتهای سال جاری آن را کشف کرد.
اما نکته ای که بد افزار ExpensiveWall از انواع دیگر آن متفاوت می کند، این است که این بد افزار با استفاده از یک تکنیک پیشرفته مبهم به نام "packed"، کد های مخرب را فشرده و رمز گذاری می کند تا از این طریق بتواند ضد تروجان فروشگاه Google Play را دور بزند.
شرکت امنیتی Check Point بیان کرده است که محققان در هفتم ماه آگوست به شرکت گوگل در مورد این نرم افزار های بدخواه هشدار دادند و این غول نرم افزاری به سرعت همه ی آن ها را حذف کرد اما در طی چند روز، این بد افزار دوباره بهPlay Store بازگشت و بیش از ۵۰۰۰ دستگاه را پیش از پاک شدنش از Play Store الوده ساخت.
بد افزار ExpensiveWall چگونه کار می کند؟
هنگامی که یک برنامه حاوی ExpensiveWall (که محققان فکر می کنند از یک کیت توسعه نرم افزاری به نام GTK گرفته شده است) بر روی یک دستگاه قربانی بارگیری می شود، برنامه مخرب درخواست مجوز کاربر برای دسترسی به اینترنت و ارسال و دریافت پیام های SMS را می دهد.
دسترسی به اینترنت توسط نرم افزارهای مخرب برای اتصال دستگاه قربانی به سرور فرمان و کنترل مهاجم مورد استفاده قرار می گیرد، جایی که در آن اطلاعاتی را در مورد گوشی آلوده از جمله محل آن همراه با شناسه های سخت افزاری منحصر به فرد مانند MAC و آدرس های IP، IMSI و IMEI می فرستد.
سپس سرور C & C یک URL برای بد افزار ارسال می کند که در یک پنجره ی WebView جاسازی شده باز می شود تا کد جاوا اسکریپت را بارگیری کند. این کد مخرب با ارسال پیام های جعلی بدون اطلاع قربانی اقدام به ثبت نام در سرویس های پولی می کند.
با این حال، با توجه به گزارش محققان شرکت امنیتی Check Point ، هنوز هم مشخص نیست که چه مقدار درآمد از طریق پیام های کوتاه بد افزار ExpensiveWall به دست آمده است.
فروشگاه Play Store خانه ای برای تروجان ها
نرم افزارهای مخرب اندروید هر روزه به انتشار خود در قالب های پیشرفته تر و از قبل دیده نشده ادامه می دهند و کشف آنها در فروشگاه Google Play، به یک اتفاق معمولی تبدیل شده است.
ماه گذشته بیش از ۵۰۰ اپلیکیشن اندرویدی با قابلیتهای جاسوسی در فروشگاه Play Store یافت شد که بیش از ۱۰۰ میلیون بار دانلود شده است.
در ماه جولای، برنامه های جاسوسی Lipizzan در Play Store کشف شد که می تواند اطلاعات زیادی را در مورد کاربران از جمله پیام های متنی، ایمیل ها، تماس های صوتی، عکس ها، اطلاعات مکان و سایر فایل ها را سرقت کند و به جاسوسی بر روی آنها بپردازد.
در ماه ژوئن، بیش از ۸۰۰ برنامه Xavier-laden در Google Play کشف شد که میلیون ها بار بارگیری شده بود و محققان همان ماه نخستین کد را برای ردیابی نرم افزارهای مخرب در فروشگاه Google Play کشف کردند.
یک ماه قبل از آن، محققان ۴۱ برنامه را در فروشگاه Play Google که به صورت مخفیانه آلوده به تروجان Judy بوده و موجب آلودگی ۳۶.۵ میلیون دستگاه اندرویدی از طریق نرم افزار تبلیغاتی مخرب شده بودند را کشف کردند.
در ماه آوریل، بیش از ۴۰ برنامه با بد افزار پنهان FalseGuide در فروشگاه Play Google که ۲ میلیون کاربر قربانی اندروید داشتند، مشاهده شد.
در اوایل سال جاری، محققان همچنین یک نوع جدید از بد افزار HummingBad را که HummingWhale نامگذاری شده است، در بیش از ۲۰ برنامه در فروشگاه Google Play کشف کردند که بیش از ۱۲ میلیون کاربر آن را دانلود کرده بودند.
چگونه از اندروید شما در برابر نرم افزارهای مخرب محافظت کنیم
حتی پس از حذف همه برنامه های مخرب از بازار رسمی Play Store، گوشی های هوشمند شما با بد افزار ExpensiveWall آلوده خواهند شد تا زمانی که برنامه های مخرب را حذف کنید البته اگر چنین برنامه ای را دانلود کرده اید.
گوگل به تازگی یک ویژگی امنیتی به عنوان Play Protector ارائه داده است که با استفاده از یادگیری ماشین و تجزیه و تحلیل استفاده از برنامه به طور خودکار برنامه های مخرب را از تلفن های هوشمند آسیب دیده برای جلوگیری از آسیب بیشتر حذف میکند.
با این حال، با توجه به گزارش محققان شرکت امنیتی Check Point ، بسیاری از تلفن ها نسخه قدیمی اندروید را دارا میباشند که این ویژگی را پشتیبانی نمی کند. این امر سبب میشود تا مخاطبان گسترده زیادی مورد حمله بد افزار ها قرار گیرند.
شدیدا توصیه می شود که همیشه یک برنامه آنتی ویروس خوب روی دستگاه خود داشته باشید تا بتواند هر برنامه مخرب را قبل از اینکه دستگاه شما را آلوده کند، شناسایی و مسدود کند و همیشه دستگاه و تمامی برنامه ها را به روز نگه دارید.
منبع: http://thehackernews.com/2017/09/play-store-malware.html
