گزارش شناسایی باتنت DDoS در برنامه محبوب اندروید Swing VPN
گزارش شناسایی باتنت DDoS در برنامه محبوب اندروید Swing VPN
گزارش شناسایی باتنت DDoS در برنامه محبوب اندروید Swing VPN |
با توجه به دسترس بودن برنامه Swing VPN در دستگاه های Android و iOS ، محققان تنها نسخه اندروید را به عنوان یک بات نت DDoS شناسایی کرند. برنامه Swing VPN که در فروشگاه رسمی گوگل پلی با نام Swing VPN - Fast VPN Proxy موجود است، بیش از ۵ میلیون بار و بخصوص توسط کاربران ایرانی دانلود شده است. نرمافزار Swing VPN یک برنامه VPN قانونی است که توسط Limestone Software Solutions برای سیستمهای اندروید و iOS توسعهیافته است. بااینحال، به گفته محقق سایبری به نام لکرومی، نسخه اندروید این برنامه یک باتنت DDoS است و گفته میشود که دارای هدف مخربی است زیرا میتواند حملات Distributed Denial-of-Service (حملات DDoS) را انجام دهد. |
همه چیز از زمانی شروع شد که دوست لکرومی به او اطلاع داد که الگوی درخواستهای غیرمعمولی روی گوشی همراهش را مشاهده کرده است. گوشی به صورت مداوم درخواستها را هر 10 ثانیه به یک وبسایت خاص ارسال میکرد. ادعا میشد که اپلیکیشن از تاکتیکهای مختلفی برای پنهان کردن اقدامات خبیثانهاش استفاده کرده است تا حمله بهصورتی که قابل تشخیص نباشد، انجام شود. ابتدا، لکرومی این مشکل را به علت وجود نرمافزار مخرب یا ویروس میپنداشت. با این حال، بررسیهای بیشتر نشان داد که تمام درخواستها از اپلیکیشن Swing VPN ارسال میشوند که دوست لکرومی آن را در گوشی خود نصب کرده بود. درخواستها به همان وبسایتی ارسال میشدند که دوست لکرومی تاکنون به آن دسترسی یا بازدیدی نداشته بود، که این امر باعث شک و تردید پژوهشگر نسبت به این اپلیکیشن شد. برای بررسیهای بیشتر، لکرومی مشاهده کرد که اپلیکیشن Swing VPN برخی از درخواستها را به یک وبسایت ارسال میکند. او مشخص کرد که اپلیکیشن بلافاصله پس از نصب، انتخاب زبان و پذیرش سیاست حفظ حریم خصوصی، آدرس IP واقعی را تشخیص میدهد. سپس یک درخواست با عنوان "What is my IP?" به بینگ و گوگل ارسال میکند. لکرومی همچنین فهمید که اصولاً برای یافتن فایلهای پیکربندی جهت بارگذاری آدرسهای IP را از پاسخها استخراج میکند. بعد از شناسایی نوع پیکربندی مورد نیاز، اپلیکیشن درخواستهایی به دو فایل پیکربندی متفاوت که در حساب Google Drive شخصی توسعه دهنده ذخیره شدهاند ارسال میکند. این فایلها از سرورهای شخصی خاص، چند مخزن GitHub یا حسابهای Google Drive درخواست میشوند. اپلیکیشن فرآیند مقدماتی خود را با اتصال به شبکه تبلیغاتی برای بارگذاری تبلیغات انجام میدهد و در نهایت پیش از رفتن به یک سایت دادهها را در حافظه محلی ذخیره میکند DDoS. تا ژوئن ۲۰۲۳، این اپلیکیشن بیش از ۵ میلیون نصب بر روی اندروید داشته است و با تقسیم آن بر ده، پتانسیلی حدود ۵۰۰ هزار درخواست بر ثانیه (RPS) ایجاد میکند. این برای یک حمله DDoS به شدت قابل توجه است. لکرومی به گوگل انتقاد کرد که سیستم امنیتی ضعیفی دارد که به اپلیکیشنهای مخرب امکان استفاده از دستگاههای کاربران بیگناه را میدهد. |
منبع: سایت مرکز ماهر |
نظر دهید