برنامه مخرب اندروید با بیش از 300 هزار نصب در گوگل پلی

برنامه مخرب اندروید با بیش از 300 هزار نصب در گوگل پلی

محققان امنیتی، سه خانواده بدافزار اندروید را کشف کرده اند که پیلود آلوده را در داخل برنامه های به ظاهر سالم پنهان کرده اند.

محققان امنیتی، سه خانواده بدافزار اندروید را کشف کرده اند که پیلود آلوده را در داخل برنامه های به ظاهر سالم پنهان کرده اند.
فعالیت های مخرب که توسط قربانیان تجربه شده شامل اطلاعات دزدی شده، گرفتن حساب های شبکه های اجتماعی، کنترل پیامک ها و هزینه تحمیلی به شماره تلفن ها میشود.
این خانواده بدافزار توسط آزمایشگاه آنالیز Zscaler در گوگل پلی کشف شده است و به نام های “Joker”،  “Facestealer”، “Coper” نام گذاری شده اند.
محققان یافته هایشان را به گوگل اطلاع داده اند، تمامی برنامه ها از آن هنگام از گوگل پلی ریمو شده اند. اگرچه، هنوز کسانی که هنوز از این برنامه های مخرب استفاده میکنند نیاز است تا آنها را حذف کنند و دستگاه شان را پاکسازی کنند.
The Joker
خانواده بدافزار Joker برای سرقت اطلاعات از دستگاه های آسیب پذیر استفاده میشد، که شامل پیامک و لیست مخاطبان قربانی میشده، در حالی که شماره قربانی را برای سرویس های پرمیوم WAP فعال میکرده است.
گزارش Zscaler شامل لیست 50 تایی از برنامه های آلوده با Joker است که جمعا شامل 300 هزار دانلود بر روی play store میشده است.
تقریبا نصف آن ها برنامه های ارتباطی بوده به این دلیل که آن ها به طور طبیعی نیاز دارند تا کاربر به آن ها دسترسی به اجازه های خطرناک را بدهد، که برای بدافزار آسان تر است تا دسترسی بالاتری را برای عملیات های مخرب بگیرد.

بدافزار اندروید

توسعه دهندگان Joker در حال حاضر در حال پنهان سازی پیلود در یک فایل asset معمول هستند، در یک فرم مبهم base64، که بعضی از وقت ها به آن پسوند JSON, TTF, PNG و دیتابیس را میدهند.
طبق توضیحات گزارش Zscaler : " بسیاری از برنامه های Joker پیلود را در داخل یک پوشه asset در درون APK پنهان میکنند و یک فایل اجرایی ARM ABI ایجاد میکنند تا از شناسایی توسط بسیاری از سندباکس ها جلوگیری شوند که براساس معماری x86 کار میکنند."
The Facestealer
همانطور که از اسم بدافزار انتظار میرود، Facestealer حساب کاربری فیسبوک قربانی را با استفاده از فرم های لاگین جعلی بر روی لاگین اصلی معتبر به سرقت میبرد.
محققان یک برنامه را پیدا کرده اند که خانواده بدافزار خاصی را در کدش پنهان میکند، یک ابزار که به نظر نام بی آزاری را برای آن انتخاب کرده اند : “Vanilla Snap Camera”، که حدودا 5000 بار نصب شده است.”

بدافزار اندروید

The Coper
Coper یک بدافزار دزدی اطلاعات است که قابلیت دستکاری پیامک ها، دزدی اطلاعات لاگین وارد شده در صفحه ها بر روی دستگاه ها، ایجاد حملات overlay، فرستادن پیامک ها مخرب، و ارسال اطلاعات بر روی سرور حمله کننده را دارد.
محققان Zscaler حداقل یک برنامه پیدا کرده اند که “Unicc QR Scanner” نام دارد، که Coper در کد خود پنهان کرده است، که در حدود 1000 دستگاه را آلوده کرده است.
در حالی که خود برنامه الزاما دارای بدافزار نیست، هنگامی که نصب شود و اجرا شود، بدافزار را به عنوان یک به روزرسانی برنامه دریافت خواهد کرد.

بدافزار اندروید

چگونه امنیت خود را حفظ کنیم
برای اینکه احتمال دانلود برنامه ی دارای بد افزار را از گوگل پایین بیاوریم، برنامه های ضروری را فقط نصب نماییم، قبل از نصب نظر ها را بررسی کنیم که آیا کسی فعالیت مخربانه از نرم افزار دیده است یا خیر، و فقط به انتشار دهنده های بزرگ شناخته شده اعتماد کنیم.
پس از نصب، به اجازه های درخواست شده توجه کنیم و از دادن اجازه های خطرناک خودداری کنیم، به ویژه اگر آنها با قابلیت برنامه سازگاری نداشته باشند.
در آخر، مطمئن شویم که Play Protect بر روی دستگاه فعال است، و به صورت منظم مصرف باتری و دیتای شبکه را بررسی کنیم که آیا فعالیت مخربانه ای پس زمینه انجام نشود.

منبع : www.bleepingcomputer.com