یک گروه امنیتی در گزارشی ادعا کرد که گوگل پلی ظاهرا از سالها پیش ابزار توزیع بدافزار گروههای مجرم سایبری بوده است. محققان میگویند مجرمان سایبری با سوءاستفاده از اعتماد کاربران به مارکت اپلیکیشن گوگل پلی، بدافزار حرفهای خود را بین کاربران اندرویدی توزیع - نمایندگی رسمی ساید بای ساید سامسونگ در محل - میکردهاند. بدافزار مذکور با استفاده از یک در پشتی حرفهای، گسترهی وسیعی از دادههای حساس کاربران را به سرقت میبرد. گزارش جدید پیرامون توزیع بدافزار ازطریق گوگل پلی، توسط محققان شرکت امنیت سایبری - نمایندگی رسمی ساید بای ساید سامسونگ در محل - Kaspersky Lab منتشر شد.
محققان کسپرسکی در گزارش - نمایندگی رسمی ساید بای ساید سامسونگ در محل - خود ادعا - نمایندگی رسمی ساید بای ساید سامسونگ در محل - کردهاند که حداقل هشت اپلیکیشن گوگل پلی که از سال ۲۰۱۸ در این مارکت منتشر شدهاند، حاوی بدافزار در پشتی بودهاند. البته سخنگوی گروه در مصاحبه با رسانههای فناوری میگوید که آنها با - نمایندگی رسمی ساید بای ساید سامسونگ در محل - استفاده از جستوجوهای آرشیوی و روشهای دیگر، به نتایج - نمایندگی رسمی ساید بای ساید سامسونگ در محل - نگرانکنندهتری هم دست یافتهاند. طبق گفتهی او، برخی از اپلیکیشنهای مخرب حداقل از سال ۲۰۱۶ در مارکت رسمی اپلیکیشن اندروید منتشر شدهاند.
گوگل پس از انتشار نتیجهی تحقیقات شرکت کسپرسکی، نسخههای اخیر بدافزار را از مارکت اپلیکیشن خود - نمایندگی رسمی ساید بای ساید سامسونگ در محل - حذف کرد. قبلا، شرکت امنیت سایبری دیگری بهنام Dr. Web نیز تحقیقات مشابهی را منتشر کرده بود. بههرحال باوجود حذف بدافزار و اپلیکیشنهای مخرب از گوگل پلی، نسخههای متعددی از آنها در مارکتهای متفرقه وجود - نمایندگی رسمی ساید بای ساید سامسونگ در محل - دارد. محققان میگویند هنوز بسیاری از اپلیکیشنهای مخرب از مارکتهای متفرقه دانلود میشوند و امنیت دستگاههای اندروید را تهدید میکنند.
دامنههای فرمان و کنترل (Command and Control) - نمایندگی رسمی ساید بای ساید سامسونگ در محل - سوءاستفاده از روش اخیر برای نفوذ به دستگاههای اندروید، در ابتدای سال ۲۰۱۵ ثبت شدهاند. درنتیجه میتوان ادعا کرد که توزیع بدافزار از طریق گوگل پلی و نفوذ به دستگاهها از پیش از - نمایندگی رسمی ساید بای ساید سامسونگ در محل - سال ۲۰۱۶ شروع شده باشد. کدی که در - نمایندگی رسمی ساید بای ساید سامسونگ در محل - بدافزارها کشف شد و همچنین سرورهای C&C متصل به آنها، شباهت زیادی به روشهای نفوذ و سوءاستفادهی گروه هکری مشهوری بهنام OceanLotus دارد. این گروه بهنامهای APT32 و APT-C-00 و SeaLotus هم شناخته میشوند. درنتیجه محققان احتمال میدهند که بدافزارهای کشفشده هم حاصل کار همان گروه باشند.
مجرمان سایبری که در پشت صحنهی - نمایندگی رسمی ساید بای ساید سامسونگ در محل - توزیع بدافزار ازطریق گوگل پلی فعال بودهاند، روشهای کارآمد و متنوعی را برای عبور از لایههای امنیتی وفرایندهای اعتبارسنجی گوگل بهکار گرفتهاند. فرایندهایی که با هدف دور نگه داشتن اپلیکیشنهای مخرب از گوگل پلی پیادهسازی میشوند. یکی از روشهای دور زدن ساختارهای امنیتی گوگل پلی به این صورت بوده است که مجرمان، نسخهای - نمایندگی رسمی ساید بای ساید سامسونگ در محل - سالم از اپلیکیشت خود را برای گوگل ارسال کرده و پس از تأیید اولیه، کدهای مخرب را اضافه میکردهاند. در روشی دیگر، در جریان نصب اپلیکیشن هیچگونه مجوز دسترسی (یا تعداد بسیار کم) از کاربر درخواست میشود. پس از نصب، مجروها بهمرور و با استفاده از - نمایندگی رسمی ساید بای ساید سامسونگ در محل - یک کد مخفیشده در یک فایل - نمایندگی رسمی ساید بای ساید سامسونگ در محل - اجرایی، کسب میشوند. از جدیدترین اپلیکیشنهای کشفشده میتوان به نمونهای با ادعای پاکسازی مرورگر وب اشاره کرد.
اپلیکیشنهای مخرب پس از نصب روی گوشی قربانی، بهمرور یک در پشتی در آن ایجاد - نمایندگی رسمی ساید بای ساید سامسونگ در محل - میکردهاند که دادههای مرتبط با گوشی آلوده همچون مدل سختافزار، نسخهی اندروید و اپلیکیشنهای نصبشده را برای سرورهای فرمان و کنترل ارسال میکرده است. مجرمان سایبری با استفاده از اطلاعات دریافتشده، کدهای مخرب مخصوص همان دستگاه آلوده را اجرا میکردهاند. کدهای مخرب جدید، اطلاعاتی همچون موقعیت - نمایندگی رسمی ساید بای ساید سامسونگ در محل - مکانی، تاریخچهی تماسها، فهرست مخاطبان، پیامهای متنی و دیگر اطلاعات حساس را به سرور ارسال میکردند.
کدهای ثانویهای که روش گوشی قربانی اجرا میشدند، بهصورت - نمایندگی رسمی ساید بای ساید سامسونگ در محل - کاملا حرفهای طراحی شده بودند و منجر به اختلال عملکرد دستگاه - نمایندگی رسمی ساید بای ساید سامسونگ در محل - نمیشدند. درنتیجه در بسیاری از - نمایندگی رسمی ساید بای ساید سامسونگ در محل - موارد، کاربر متوجه آلوده بودن دستگاه نمیشد و شناسایی بدافزار هم ممکن نبود. - نمایندگی رسمی ساید بای ساید سامسونگ در محل - البته در برخی از نسخههای جدید نیز اپلیکیشنهای مخرب حاوی کد ثانویه بودند و نیازی به در پشتی ابتدایی نداشتند.
الکسی - نمایندگی رسمی ساید بای ساید سامسونگ در محل - فِرش و لِو پیکمن، محققان امنیتی کسپرسکی در مقالهای پیرامون یافتهی جدید خود نوشتند:
خدمات خوب برای نمایندگی رسمی ساید بای ساید سامسونگ در محل میخواهی؟ پس کلیک کن.
نظریهی اصلی ما پیرامون دلیل پیادهسازی روش نسخهسازی متعدد توسط مجرمان سایبری این است که - نمایندگی رسمی ساید بای ساید سامسونگ در محل - آنها قصد دور زدن فیلترهای امنیتی گوگل را به هر روش ممکن داشتهاند. آنها در رسیدن - نمایندگی رسمی ساید بای ساید سامسونگ در محل - به اهداف خود موفق بودند و نسخههای جدید از - نمایندگی رسمی ساید بای ساید سامسونگ در محل - بدافزار حتی در نسخهی سال ۲۰۱۹ گوگل پلی هم دیده شدند.
مدیران گوگل هیچ پاسخ - نمایندگی رسمی ساید بای ساید سامسونگ در محل - یا توضیحی پیرامون چگونگی مقابله با روشهای مشابه در آینده ارائه ندادند. آنها همچنین نگفتند که آیا درحالحاضر روشی برای جلوگیری از سوءاستفادههای مشابه پیاده کردهاند یا خیر. در عوض، بیانیهای از سوی گوگل منتشر شد که - نمایندگی رسمی ساید بای ساید سامسونگ در محل - در بخشی از آن میخوانیم: - نمایندگی رسمی ساید بای ساید سامسونگ در محل - «ما همیشه تلاش میکنیم تا ظرفیتهای شناسایی بدافزار - نمایندگی رسمی ساید بای ساید سامسونگ در محل - خود را افزایش - نمایندگی رسمی ساید بای ساید سامسونگ در محل - دهیم. ما از فعالیت محققان قدردانی میکنیم و اشتراکگذاری یافتهها را ارج مینهیم. از زمان دریافت گزارشها، اقدامهای مقتضی برای مقابله با اپلیکیشنهای کشفشده، انجام شده است».
اکثر اپلیکیشنهای مخربی که در تحقیقات اخیر شناسایی شدند، برای پیادهسازی اهداف خود نیاز به نصب روی دستگاه روت شده داشتند. درواقع، اپلیکیشنها برای - نمایندگی رسمی ساید بای ساید سامسونگ در محل - اجرای بدون اشکال باید روی دستگاهی اجرا میشدند که آسیبپذیریهای روت را داشت. درنتیجه مجرمان توانایی سوءاستفاده از حفرههایی را داشتند که برای گوگل و عموم کاربران، شناختهشده نبود. محققان - نمایندگی رسمی ساید بای ساید سامسونگ در محل - هیچگونه افزایش سطح دسترسی محلی را در اپلیکیشنهای - نمایندگی رسمی ساید بای ساید سامسونگ در محل - مخرب شناسایی نکردند، اما احتمال سوءاستفاده از چنین حملههایی را نیز دور از ذهن نمیدانند. در بخشی از توضیحات یکی از محققان پیرامون روش توزیع بدافزار ازطریق گوگل پلی میخوانیم:
بهترین خدمات نمایندگی رسمی ساید بای ساید سامسونگ در محل
بدافزار توانایی دانلود و اجرای کدهای - نمایندگی رسمی ساید بای ساید سامسونگ در محل - مخرب اضافه را از سرورهای C2 (همان C&C) دارد. درنتیجه میتوان چنین سناریویی را متصور شد: مجرمان ابتدا اطلاعاتی همچون نسخهی سیستمعامل، فهریت اپلیکیشنهای نصبشده و موارد دیگر را دریافت میکنند. آنها سپس براساس همین اطلاعات اولیه، ارزشمند بودن نفوذ به دستگاه قربانی را بررسی میکنند. در مرحلهی بعدی، کد و حملهی مخرب مناسب دستگاه مذکور اجرا میشود که میتواند از نوع افزایش سطح دسترسی محلی (LPE) هم باشد. ما نتوانستیم هیچ نمونهای از این کدهای مخرب را شناسایی کنیم؛ همانطور که گفتم، مجرمان مهارت زیادی در حملههای OPSEC دارند و نمیتوان بهراحتی کدهای مخرب ثانویهی آنها را شناسایی کرد.
یکی از توضیحات تکمیلی پیرامون روشهای نفوذ نشان میدهد که با ساختاری بسیار پیچیده روبهرو هستیم. در برخی از موارد، وقتی دسترسیهای روت در گوشی قربانی وجود داشتهاند، بدافزار با رابط برنامهنویسی نامعتبری بهنام setUidMode ارتباط برقرار میکرده و بدون دخالت کاربر، مجوزهای لازم را دریافت میکرده است.
محققان کسپرسکی، اپلیکیشنهای زیر را بهعنوان ابزارهای مخرب توزیع - نمایندگی رسمی ساید بای ساید سامسونگ در محل - بدافزار ازطریق گوگل پلی اعلام کردند:
نام پکیج | آخرین تاریخ مشاهده در گوگل پلی |
---|---|
com.zimice.browserturbo | ۲۰۱۹/۱۱/۰۶ |
com.physlane.opengl | ۲۰۱۹/۰۷/۱۰ |
com.unianin.adsskipper | ۲۰۱۸/۱۲/۲۶ |
com.codedexon.prayerbook | ۲۰۱۸/۰۸/۲۰ |
com.luxury.BeerAddress | ۲۰۱۸/۰۸/۲۰ |
com.luxury.BiFinBall | ۲۰۱۸/۰۸/۲۰ |
com.zonjob.browsercleaner | ۲۰۱۸/۰۸/۲۰ |
com.linevialab.ffont | ۲۰۱۸/۰۸/۲۰ |
محققان کسپرسکی، حملهی کشفشده را در گزارش خود بهنام PhantomLance معرفی کردهاند. همانطور که گفته شد، شباهتها این تصور را ایجاد میکند که حملههای چند سال گذشته، نتیجهی فعالیت گروه OceanLotus بودهاند. محققان میگویند این گروه اغلب دولتهای آسیایی، مخالفان و روزرنامهنگاران را با تمرکزی عمیق روی - نمایندگی رسمی ساید بای ساید سامسونگ در محل - اهداف مخالف ویتنام - نمایندگی رسمی ساید بای ساید سامسونگ در محل - انجام میدهند. - نمایندگی رسمی ساید بای ساید سامسونگ در محل - نام اپلیکیشنها و دیگر بخشهای مرتبط در کدها بهزبان ویتنامی نوشته شدهاند.
گزارش اخیر پیرامون توزیع بدافزار ازطریق گوگل پلی، اولین حملهی مجرمان با بهرهگیری از منابع مالی وسیع حکومتی نیست. محققان امنیتی در ابتدای سال جاری اپلیکیشنهایی را در گوگل پلی کشف کردند که توسط SideWinder توسعه یافته بود. این گروه از سال ۲۰۱۲ با هدفگیری مراکز نظامی فعالیت میکند. در گزارشی دیگر در سال ۲۰۱۹، ادعا شد که دولت مصر با سوءاستفاده از گوگل پلی، شهرندان خود را هدف قرار میدهد.
باوجود خطرناک بودن یافتههای امنیتی اخیر، - نمایندگی رسمی ساید بای ساید سامسونگ در محل - احتمال کمی وجود دارد که دستهبندی بزرگی از گروههای کاربری - نمایندگی رسمی ساید بای ساید سامسونگ در محل - هدف قرار گرفته باشند. بههرحال اگر نگران آلوده شدن دستگاه خود هستید، بررسی فهرست بالا و فهرست منتشرشده در این لینک میتواند به شناسایی اپلیکیشن مخرب احتمالی در گوشی اندرویدی کمک کند. درنهایت فراموش نکنید که بدافزارها بیش از همه گوشیهای روت شده را هدف قرار میدهند.