کشف یک جاسوس‌افزار در بین اپ‌های گوگل پلی

محققین ترندمیکرو (Trendmicro) جاسوس‌افزاری را کشف کرده‌اند که در فروشگاه اپ اندروید، گوگل پلی (Google Play) عرضه شده بود.

 کشف یک جاسوس‌افزار در بین اپ‌های گوگل پلی

محققین ترندمیکرو (Trendmicro) جاسوس‌افزاری را کشف کرده‌اند که در فروشگاه اپ اندروید، گوگل پلی (Google Play) عرضه شده بود. این بدافزار در قالب چند اپلیکیشن‌های ظاهراً سالم در گوگل پلی قرار داشت که برخی از این اپلیکشین‌ها حدود صدهزار بار دانلود شده بود.

این اپلیکیشن‌ها عبارتند از یک بازی به نام Flappy Birr Dog، FlashLight ، HZPermis ProArabe، Win7imulatorWin7Launcher  و Flappy Bird. اکنون گوگل همه این اپ‌ها را از فروشگاه خود حذف کرده است.

 

وقتی جاسوس‌افزار آغاز به کار می‌کند، به سرور کنترل و فرمان (C2) متصل شده و یک فایل پیکربندی XML را از آن می‌خواند. ارتباط بین بدافزار و سرور C2 از طریق پلتفرم Firebase Cloud Messaging برقرار می‌شود. این پلتفرم به توسعه‌دهندگان اپ امکان می‌دهد تا بین اپ نصب‌شده روی گوشی کاربر و سرور خود پیام مبادله کنند. پس از دریافت فایل XML، بدافزار اطلاعات دستگاه موبایل، مثل زبان، کشور، نام پکیج، کارخانه سازنده گوشی و… را به C2 می‌فرستد. سپس بدافزار منتظر دریافت دستور از C2 می‌ماند و آن را اجرا می‌کند.

 

مثالی از فایل پیکربندی دریافتی از C2

 

دستوری که از C2 ارسال می‌شود، تعیین می‌کند که چه اطلاعاتی باید دزدیده شود. این اطلاعات می‌تواند محتوای پیامک‌ها، لیست مخاطبین، فایل‌ها و تاریخچه تماس‌ها باشد.

 

خواندن و تفسیر دستور دریافتی از C2

 

سرقت پیامک‌ها

 

بدافزار همچنین بسته به دستور دریافتی ممکن است فایل‌های روی دستگاه را سرقت و آپلود کند.

 

سرقت فایل‌ها

 

آپلود فایل‌ها

 

فیشینگ

علاوه بر اطلاعات فوق، بدافزار می‌تواند با استفاده از فیشینگ اطلاعات گذرواژه و نام کاربری را سرقت کند. فیشینگ بدین شکل انجام می‌شود که بدافزار یک صفحه جعلی لاگین فیسبوک یا گوگل را نمایش می‌دهد و اگر کاربر اطلاعات خود را در آن وارد کند، این اطلاعات در اختیار بدافزار قرار می‌گیرد. پس از ورود اطلاعات، یک پیغام خطا نمایش داده می‌شود با این مضمون که لاگین موفقیت آمیز نبوده است، با این وجود اطلاعات توسط بدافزار سرقت شده است.

 

صفحه جعلی لاگین فیسبوک

 

فروشگاه‌های اپ معتبر نسبت به فروشگاه‌های غیرمعتبر امن‌تر هستند و فرآیندهایی برای حذف اپ‌های ناامن دارند، اما با این حال، حتی در این فروشگاه‌ها هم گاهی حذف اپ‌های مخرب مدت زیادی طول می‌کشد. بنابراین، علاوه بر استفاده از فروشگاه‎های اپ معتبر، حتی‌الامکان از نصب اپ‌های غیرضروری و یا نامعتبر خودداری کنید. همچنین ضدویروس موبایل خود را به روز نگه دارید.

 

 

منبع

کلمات کلیدی