گوگل بیش از 1700 برنامه آلوده به بدافزار جوکر را از پلی استور حذف نمود

گوگل بیش از 1700 برنامه آلوده به بدافزار جوکر را از پلی استور حذف نمود

تقریباً 1700 برنامه آلوده به بدافزار اندرویدی Joker که همچنین به عنوان Bread نیز شناخته می شود در اوایل سال 2017 توسط Google’s Play Protect شناسایی و از پلی استور حذف شدند.

همانطور که توسط محققان امنیتی CSIS Security Group کشف شد، یک سری از برنامه های مخرب توانستند به پلی استور وارد شوند که در سپتامبر 2019 بیش از 472.000 دانلود داشته اند.

گوگل می گوید: در زمان های مختلف ما چندین نوع فعال از Bread را مشاهده کردیم که از رویکردهای مختلف استفاده می کردند. در زمان اوج فعالیت، ما 23 برنامه مختلف از این خانواده را مشاهده کرده ایم که در یک روز درStore  Play ارائه شدند.

بدافزارها برای صدور صورت حساب جعلی استفاده می شوند

چنین برنامه های مخرب در ابتدا توسط سازندگان Joker برای انجام کلاهبرداری SMS طراحی شده بودند، اما با افزایش پوشش Google Play Protect و محدود کردن استفاده از دسترسی SEND_SMS و مکانیزم WAP، تا حد زیادی رها شدند.

نسخه های جدیدتر از بدافزار Joker به نوع دیگری از کلاهبرداری در صورتحساب تلفن همراه موسوم به کلاهبرداری عوارض روی آوردند. با استفاده از این تکنیک جدید، اپراتورهای بدافزار از برنامه های مخرب برای فریب قربانیان در عضویت و یا خرید انواع مختلف محتوا از طریق قبض تلفن همراه استفاده می کنند.

همانطور که Vadim Kotov و Alec Guertin از تیم امنیت اندروید توضیح دادند، هر دو روش صورتحساب که در بالا توضیح داده شده است، بر اساس تائید صحت دستگاه می باشد نه تایید کاربر.

این روند مشخص می کند که این درخواست از دستگاه کاربر نشات می گیرد اما نیازی به اقدامی از طرف کاربر ندارد.

برخی از کشورهایی که توسط بدافزار Joker هدف قرار گرفته اند

نویسندگان بدافزار برای اینکه بتوانند فرآیند صدور صورتحساب مخرب را بدون نیاز به تعامل کاربر به صورت خودکار انجام دهند، از کلیک های تزریقی، HTML های سفارشی و گیرنده های SMS استفاده می کنند.

در بسیاری موارد، کاربرانی که دستگاه های اندرویدی آنها به بدافزار Joker آلوده می شود، متوجه می شوند که ویژگی های برنامه ای که نصب کردند با اصل برنامه مطابقت ندارد.

برنامه های Joker نیز غالباً عملکرد دیگری فراتر از فرآیند صورتحساب ندارند و در برخی موارد، به سادگی می توانند از دیگر برنامه های محبوب در Google Play Store کلون کنند.

بر اساس گزارشی که توسط Android Security & Privacy 2018 Year In Review در مارس 2019 منتشر شد، Google Play Protect هر روز بیش از 50 میلیارد برنامه را اسکن می کند.

با استفاده از تجزیه و تحلیل و بررسی روزانه 500.000 برنامه در روند بررسی مبتنی بر رایانش ابری، Google Play Protect  کمک می کند تا برنامه های مضر وارد Google Play نشوند.

همانطور که توسط گوگل در بررسی سالانه Google Play Store مشخص شد، آنها بیش از 55% برنامه های اندرویدی را در سال 2017 رد کردند و این رقم حدود 66% نسبت به سال گذشته افزایش داشته است.

در حالیکه بررسی سالانه 2018 تعداد دقیقی از برنامه های مخرب حذف شده را ارائه نمی دهد، در سال 2017 گفته شده است که این شرکت بیش از 700.000 برنامه که با سیاست های Google Play متضاد بود را رد کرد که 70% بیش از سال 2016 بوده است.

نویسندگان بدافزار Joker مجبور به انطباق شدند

سازندگان بدافزار Joker دائماً مجبور هستند تا تاکتیک های خود را عوض کنند تا بتوانند شکافی در لایه دفاعی Google Store پیدا کنند، زیرا گوگل سیاست های جدیدی را اعمال کرده است و مقیاس دفاعی Google Play Protect را افزایش داده است.

گوگل می گوید: آنها همه تکنیک های مخفی سازی را استفاده کردند تا شناسایی نشوند.

به نظر می رسد بسیاری از این نمونه ها بطور خاص طراحی شدند تا تلاش کنند که بدون اینکه شناسایی شوند وارد Play Store شوند و هیچ جای دیگری دیده نمی شوند.

جزئیات بیشتر درباره عملکرد داخلی بدافزار Joker (موسوم به Bread) و همچنین شاخص های آن مانند نام پکیج و نمونه هش کدهای بدافزار در گزارش کامل گوگل موجود است.

 

منبع: BleepingComputer.com