هشدار: ۱۱ میلیون دستگاه آلوده به رباتهای مخرب در گوگلپلی
پنج سال پیش، محققان به کشفی هولناک دست یافتند: یک برنامه قانونی اندروید در فروشگاه گوگل پلی به طور مخفیانه به یک برنامه مخرب تبدیل شده بود که توسعه دهندگان از آن برای کسب درآمد تبلیغاتی استفاده میکردند.
در نتیجه، برنامه با کدی آلوده میشد که باعث شد ۱۰۰ میلیون دستگاه آلوده به سرورهای کنترل شده توسط مهاجمان متصل شوند و برنامههای مخفی را دانلود کنند. اکنون باز هم تاریخ تکرار میشود.
به گزارش ایتنا، محققان گزارش دادند که دو برنامه جدید را پیدا کردند که ۱۱ میلیون بار از گوگل پلی دانلود شده و به همان خانواده بدافزار آلوده شده بودند. محققان کسپرسکی بر این باورند که یک کیت توسعه بدافزار برای یکپارچهسازی قابلیتهای تبلیغاتی باز هم مسئول این خرابکاری است.
خرابکار هوشمند
کیتهای توسعه نرمافزار که معمولاً به عنوان SDK شناخته میشوند، برنامههایی هستند که چارچوبهایی را در اختیار توسعهدهندگان قرار میدهند که میتوانند با سادهسازی کارهای تکراری، روند ایجاد برنامه را به طور چشمگیری سرعت بخشند.
هنگامی که یک SDK به ظاهر نامعتبر مورد استفاده قرار میگیرد، میتواند از ارائه تبلیغات، پشتیبانی کند. اما در پشت صحنه، مجموعهای از روشهای پیشرفته برای ارتباط مخفیانه با سرورهای مخرب، آپلود اطلاعات کاربر، دانلود کدهای مخرب و بهروزرسانی آن در هر زمان ارائه میدهد.
خانواده بدافزار پنهان شده در هر دوی اینها به نام Necro شناخته میشود. اما این بار، برخی از انواع مختلف تکنیکهایی مانند مخفی کاری استفاده میکنند، روشی مبهم که به ندرت در بدافزارهای مشابه دیده میشود.
هنگامی که دستگاهها به این بدافزار آلوده میشوند، به یک سرور فرمان و کنترل تحت اختیار مهاجم متصل میشوند و درخواستهای وب حاوی اطلاعات گزارش دادههای رمزگذاریشده درباره دستگاه در معرض خطر را ارسال میکنند.
محققان توضیح دادند که ماژول SDK مخرب از نرمافزار پنهانکاری بسیار ساده اما بهشدت مؤثر استفاده میکند. این نرم افزار باعث دانلود افزونههای مخرب میشود که میتوانند با هر دستگاه آلوده جداگانه ترکیب و مطابقت داده شوند تا اقدامات مختلفی را انجام دهند.
برنامههای آلوده
کارشناسان، برنامههای Necro را در دو اپلیکیشن در گوگل پلی پیدا کردند. یکی از این اپلیکیشنها Wuta Camera بود؛ اپلیکیشنی که تاکنون ۱۰ میلیون بار دانلود شده است.
نسخههای Wuta Camera حاوی یک SDK مخرب هستند که برنامهها را آلوده میکند. این برنامه برای حذف مؤلفه مضر به روز شده است. یک برنامه دیگر نیز به Max Browser که حدود یک میلیون بار دانلود شده است، نیز آلوده شد که البته این اپلیکیشن دیگر در گوگل پلی در دسترس نیست.
به گزارش ایتنا، همچنین، محققان دریافتند که Necro انواع برنامه های اندروید موجود در بازارهای جایگزین را آلوده می کند. در بیشتر موارد، این برنامهها خود را بهعنوان نسخههای اصلاحشده اپلیکیشنهای قانونی مانند واتساپ و دیگران تبلیغ میکنند.
محققان تاکید کردند افرادی که نگران احتمال آلوده شدن به Necro هستند باید برنامه های خود را بررسی کنند و برای محافظت از دستگاه های خود به برنامه های آنتی ویروس قابل اعتماد اعتماد کنند.
این مطلب از سایت ایتنا گردآوری شده است.
منبع: ایتنا