کشف ۱۰۰ برنامه مخرب با ۴ میلیون نصب در گوگلپلی
بیش از ۱۰۰ برنامه مخرب از جمله باجافزار و تبلیغافزار در فروشگاه گوگلپلی کشف شده که تعداد نصب بالایی داشته و محققان توصیه میکنند درصورت نصب این برنامهها، آنها را حذف کنید.
محققان بیش از ۱۰۰ برنامه مخرب را از فروشگاه گوگلپلی کشف کردند که توسط بیش از ۴.۶ میلیون کاربر اندرویدی در سراسر جهان نصب شدهاند. بسیاری از برنامههای مخرب کلاهبرداری در تبلیغات هستند که با استفاده از همان کد مشترک موسوم به" Soraka " با نام پکیج (com.android.sorakalibrary. *) استفاده میکنند.
این برنامهها در قالب تبلیغات مخرب، در چند ماه گذشته بهسرعت در حال رشد هستند که کاربران اندرویدی را بهطور انحصاری هدف قرار دهند تا میلیونها دلار درآمد کسب کنند. بدافزارهای مخرب، جاسوسافزارها و تبلیغافزارها میتوانند با همراهی با آن دسته، سیستمهای کاربر را آلوده کرده و به اختلال در روند روتین و نشت اطلاعات شخصی دستگاههای اندرویدی منجر شوند.
آنطور که در گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) آمده، علاوه بر پکیج کد Soraka، محققان همچنین در برخی از برنامهها نوعی کد با عملکرد مشابه را کشف کردند که آن را "soga" با نام پکیج (com.android.sogolibrary) لقب دادهاند.
یک اپلیکیشن مخرب به نام "best fortune explorer app" که توسط JavierGentry۸۰ منتشر شده است، به انواعی از فعالیتهای مخرب از جمله فریب کاربران برای کلیک روی تبلیغات جهت درآمدزایی اقدام کرده است. این برنامهها دارای بیش از ۱۷۰ هزار نصب بدون شناسایی توسط VirusTotal بوده است.
قبل از انتشار تبلیغات جعلی، این تبلیغافزارها موارد مختلف کنترلی و چک کردن کد را دور میزند، از جمله این کدها میتوان به Screen On، TopActivity، Interval since installation، Trigger on/off switches و Ad Network daily count limit اشاره کرد.
مکانیسم و روشهای مبهمسازی به مهاجمان کمک میکند تا از تجزیه و تحلیل خودکار بدافزارشان جلوگیری کنند. در فعالیتهای مربوط به کلاهبرداری در تبلیغات، با باز کردن قفل دستگاه، در حالی که صفحه تلفن خاموش است کد برنامه، سرویس اعلان پسزمینه را که تمام فعالیتهای کلاهبرداری را متوقف میکند، حذف میکند و اولین آگهی (OOC) Out-of-Context چند ثانیه بعد از باز کردن قفل گوشی ارائه داده میشود.
مهاجمان از سازوکارهای ماندگاری مبتنی بر کد جاوا برای حفظ بدافزار در دستگاه آلوده اندرویدی استفاده میکنند. این مکانیسم همچنین اجازه میدهد تا با استفاده از کنترل سیستمهای عامل، افرادی که تبلیغات مخرب را دریافت میکنند، کنترل کنند و وقتی شرایط این موضوع مناسب است، برنامهها تبلیغات خارج از زمینه ارائه میدهند.
تیم اطلاعاتی White Ops Threat گفتهاند که آنها همچنان نظارت بر این پکیجها را دارند و هرگونه پکیجهای در حال ظهور مبتنی بر موارد قبلی را شناسایی میکنند. در این لینک اسامی پکیجهای آلوده آمده است که اگر کاربری این پکیجها را نصب کرده است توصیه میشود آن را حذف کند.
همانطور که بارها گفته شده، لازم است دانلود و نصب برنامهها و اپلیکیشنها، از منابع معتبر صورت گیرد، زیرا اکثر ویروسها در برنامههای کاربردی پنهان بوده و زمانی که کاربر این برنامهها را از منابع غبرمعتبر و غیراستاندارد دانلود و نصب میکنند، در واقع در حال نصب ویروس روی سیستم خود هستند. اما گاهی اپلیکیشنهایی که از فروشگاههایی مانند گوگلپلی و اپاستور دانلود میشوند هم امکان ایجاد مشکل برای کاربران را دارند، که معمولا با آگاهی از امکان سوءاستفاده از کاربران با اپلیکیشنهای جعلی، اقدام به آگاه ساختن کاربران و حذف اپلیکیشنها میکنند.