به گزارش ایسنا، بدافزارها و نرمافزارهای مخرب در هر یک از فروشگاههای آنلاین یافت میشوند؛ بسیاری از اعتماد نو به نقل از برنامههایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر میشوند، از روی اعتماد نو به نقل از برنامههای منبع باز ساخته شدهاند. بسیاری از این اعتماد نو به نقل از برنامهها صرفاً با تغییر نام و آیکون بهعنوان اعتماد نو به نقل از برنامههای گوناگون و با هدف استفاده از سرویسهای تبلیغاتی داخل این اعتماد نو به نقل از برنامهها و درآمدزایی برای منتشرکننده اعتماد نو به نقل از برنامه، تولید میشوند.
این اعتماد نو به نقل از برنامهها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند و یا عملکرد جعلی داشته و تنها با هدف جذب کاربر و کسب درآمد از تبلیغات توسعه یافته باشند.
جوکر (Joker) یکی از بزرگترین خانوادههای بدافزار است که بهطور مداوم دستگاههای اندروید را هدف قرار میدهد. این بدافزار با ایجاد تغییر کد، روشهای اجرایی یا تکنیکهای بازیابی محموله، بار دیگر در گوگلپلی ظاهر شده است. معاونت بررسی مرکز افتا هشدار داده است که محققان امنیتی از تیم تحقیقاتی Zscaler ThreatLabZ بارگذاری منظم فایلهای آلوده به بدافزار را در فروشگاه گوگلپلی شناسایی کردهاند.
این موضوع باعث شد چگونگی دستیابی موفقیتآمیز جوکر به فرآیند ورود به گوگلپلی مورد ارزیابی قرار گیرد. در سپتامبر امسال، ۱۷ نمونه مختلف اعتماد نو به نقل از برنامه آلوده که بهطور منظم در گوگلپلی بارگذاری میشده، مورد شناسایی قرار گرفته و حدود ۱۲۰ هزار دانلود برای اعتماد نو به نقل از برنامههای مخرب انجام شده است.
نمونههایی از این اعتماد نو به نقل از برنامههای مخرب شامل All Good PDF Scanner، Tangram App Lock، Direct Messenger، Private SMS، Meticulous Scanner،Desire Translate، Talent Photo Editor – Blur focus، Care Message، Part Message، Paper Doc Scanner، Blue Scanner و Hummingbird PDF Converter – Photo to PDF میشود.
محققان سه سناریوی مختلف در این آلودگی را بررسی کردند. در سناریو اول، اعتماد نو به نقل از برنامه مخرب URL CC را برای دانلود مستقیم در اعتماد نو به نقل از برنامه جاسازی کرده و پس از نصب اعتماد نو به نقل از برنامه مخرب، برای دانلود با سرور CC تماس میگیرد. در سناریو دوم، اعتماد نو به نقل از برنامههای مخرب stager payload را اضافه میکنند. وظیفه این stager payload این است که بهراحتی payload URL نهایی را از کد بازیابی کرده و سپس دانلود و اجرا میکند. در سناریو سوم، اعتماد نو به نقل از برنامههای آلوده برای دانلود payload نهایی، payload دومرحلهای دارند. اعتماد نو به نقل از برنامه آلوده گوگلپلی مرحله اول payload را دانلود میکند که سپس مرحله دوم payload هم دانلود شده و در نهایت payload نهایی Joker را دانلود میکند.
در تمام سناریوها، Payload نهایی که دانلود میشود بدافزار جوکر است و از کد رمزگذاری DES برای اجرای فعالیتهای CC استفاده میکند. به همین دلیل به کاربران توصیه میشود که مجوز اعتماد نو به نقل از برنامههایی که نصب میکنند را بهخوبی بررسی کنند.
انتهای پیام
