چندین اپلیکشن اندروید که بیش از 100میلیون بار نصب شده اند دارای یک تروجان Clicker بوده اند

چندین اپلیکشن اندروید که بیش از 100میلیون بار نصب شده اند دارای یک تروجان Clicker بوده اند

محققان تروجان Clicker را در 33 اپلیکشن توزیع شده از طریق فروشگاه Google Play یافتند که حدود 100 میلیون بار توسط کاربران اندرویدی نصب شده بود.

این باج افزار به عنوان یک ماژول مخرب به اپلیکیشن هایی مانند پخش کننده های صوتی، اسکنر بارکد، دیکشنری ها و تعداد زیادی از نرم افزارهای معمولی که اکثر افراد روی دستگاه های اندرویدی خود نصب می کنند، اضافه شده است.

این برنامه ها کاملاً کاربردی بودند همانطور که محققان وب سایت دریافتند و هیچ علامت هشداری را در رابط کاربری خود نشان ندادند ، در حالی که هیچ یک از رفتارهای عجیب و غریب ترین برنامه های مخرب مانند مخفی کردن نماد خود را بعد از نصب یا درخواست راه بیش از حد نمایش نمی دهند. وظایفی که برای انجام آنها طراحی شده است.این اپلیکشن ها همانطور که محققان وب سایت دریافتند کاملاً کاربردی بوده و هیچ علامت هشداری را در رابط کاربری خود نشان ندادند.
تروجان Clicker نوعی باج افزار است که برای فعال ماندن در حافظه دستگاه های آلوده و انجام کارهای کلاهبردارانه در بگ گراند مانند باز کردن صفحات وب بدون اطلاع قربانی طراحی شده است.

 

عضو شدن قربانیان به سرویس های premium
تروجان Clicker که توسط محققان Android.Click.312.origin نامگذاری شده است فقط 8 ساعت پس از برنامه هایی که در آن راه اندازی شده اند برای جلوگیری از شناسایی اجرا می شوند.
پس از راه اندازی در یکی از  دستگاه های Android در معرض خطر، این باج افزار بلافاصله شروع به جمع اوری اطلاعات مربوط به سیستم می کند، مانند:
• نسخه سیستم عامل
• سازنده و مدل دستگاه
• کشور محل سکونت کاربر
• نوع اتصال به اینترنت
• منطقه زمانی کاربر
• و اطلاعات اپلیکیشن مورد استفاده تروجان clicker
 
تمام این اطلاعات و موارد دیگر در malware's command و سرور  C2 بسته بندی و ارسال می شود.
هنگامی که کاربر، برنامه جدیدی را از طریق Play Store یا APK روی دستگاه آلوده نصب کند، این تروجان اطلاعات و داده های فنی دستگاه و برنامه تازه نصب شده را به سرور C2 خود ارسال می کند که URL ها را برای باز کردن در یک مرورگر ، یک WebView غیر قابل دسترس یا در Play Store برمیگرداند.
محققان اذعان داشتند: " بسته به تنظیمات کامند و سرور کنترل و دستورالعمل هایی که ارسال می کند، این تروجان نه تنها می تواند برنامه های تبلیغاتی را در Google Play تبلیغ کند بلکه وب سایت ها به صورت مخفیانه بارگذاری می شوند." به عنوان نمونه، برخی از کاربران درGoogle's Play Store  گزارش دادند که پس از نصب اپلیکیشن های حاوی تروجان Android.Click.312.origin به طور خودکار در خدمات سرویس دهنده محتوای گران قیمت عضو شدند.
محققان وب، تروجان Clicker را در برنامه هایی که در جدول زیر ذکر شده، گزارش کرده اند. این شرکت چندین برنامه گزارش شده را حذف کرد، زیرا شرکت سازنده اپلیکیشن آلوده را به روز رسانی کرده و ماژول مخرب را حذف نمودند.

 

نام پکیج
SHA1
حداقل دانلودها
com.a13.gpslock
c0ddd6a164905ef6f65ec06ff088a991c01687e9
 
com.a13softdev.qrcodereader
ea3e521d80730097f2c48dd9f0432749a07b9562
1000000
com.aitype.android
66c75e23ab7169475043cdc120206c06b261349d
10000000
com.crics.cricketmazza
1915eb46bd9ee2fe6748deaa0750cee83f72f8e0
1000000
com.dictionary.englishurdu
6c1347786aef5beb0060229c043e5c2ab24f1210
5000000
com.finance.loan.emicalculator
b8370356b55b13824eac3f8c0129bc2a00ddaf93
1000000
com.fitness.stepcounter.pedometer
100b7a782cf12c0d08b94b3a8425c972f44f2ddc
100000
com.galaxyapps.routefinder
4328b4c99dac008e6c509ac1521014faa0dadcc3
5000000
com.guruinfomedia.ebook.pdfviewer
0a17c18c49c97cdf558a986037b0e4b0c8592442
100000
com.guruinfomedia.gps.speedometer
7964ec42624b91280a044024906ce71ec46cc6ea
1000000
com.guruinfomedia.gps.speedometerpro
eca09c6331129c86e95a64a2f89dce8ad23cfea0
50000
com.guruinfomedia.notepad.texteditor
88d1c4d118decd4360e6a8abc186965ccc05fe23
1000000
com.guruinfomedia.notepad.texteditor.pro
c5caf490f8627f510553b9336d62fd28382d22d5
100000
com.impactobtl.friendstrackerfree
0c7dbdb521efd7354d515e2b24c8f2c61432c4bc
1000000
com.impactobtl.whodeletedme
8b901532f3247bdafe84e2d315d900bfe3a91bd6
500000
com.mapsnavigation.gpsroutefinder.locationtrackers
fbe2ac65d1a9c2894821faaff000ea7ac1147cee
1000000
com.qibla.compass.prayertimes
034ba8339be985c137108f4064bff4e156817c51
100000
com.qiblafinder.prayertime.hijricalendar
ef8a44cabd1ed8ef37c303c8fc16effb6c28fa5c
1000000
com.quranmp3.readquran
9b4a330a6ebe026db5fd13483c1a0a9de4571c89
1000000
com.quranmp3ramadan.readquran
a870ba7293fc5475b499466a90d9a38a539a645c
500000
com.ramdantimes.prayertimes.allah
b13b296d20f360f8413b49459dc7397799e38763
1000000
com.ramdantimes.qibla.prayertimes
e74dec8b5ff7d0fa77f21f21fdb49f0e0f3722c7
500000
com.sdeteam.gsa
4e8112e4e3039e4a8d2479e3acae858deae0c3a1
1000000
com.shikh.gurbaniradio.livekirtan
1c69c6cc2714496fb50818b1c46be0ca72086fad
100000
com.studyapps.mathen
9498a03c48b4802d1e529e42d5dc72a7e2da1593
500000
com.studyapps.obshestvo
4f2dfe1410b7de8f9301d5c54becfa87d7cdd276
100000
com.tosi.bombujmanual
8161f174eb43ee98838410e08757dd6dc348b53f
500000
com.videocutter.mp3converter
f9a7b22c2a8c07cf1e878dc625ea60e634486333
1000000
com.vpn.powervpn
a7dded17f59ad889d949232ee8b5c43d667ca351
1000000
liveearthcam.livewebcams.livestreetview
581f505f4a83ad2ff1823dd3477c000788a77829
500000
qrcode.scanner.qrmaker
a53bcd4a4313dee7d6fd226867a005b8549c0227
5000000
remove.unwanted.object
22f2690b89e8c1ea0172ced211d3d57f07118bcb
10000000
com.ixigo.train.ixitrain
700819680439ce23945f25a20f1be97a1ff7d074
50000000
 
محققان اطلاعات مفصلی درباره اطلاعاتی كه تروجان Clicker به سرورهای C2 خود ارسال می كند و نیز دستورات و تنظیماتی كه از عملگرهای خود دریافت می كند، ارائه می دهند.
منبع : www.bleepingcomputer.com