ایتنا-به تازگی یک هکر کاملا حرفهای توانسته است بیش از هزاران اپلیکیشن مخرب را به برنامه های شخص ثالث و فروشگاه پرطرفدار گوگل پلی بیافزاید.
آیا شما هم جزء کسانی هستید که به گوگل پلی به عنوان یک فروشگاه امن اعتماد می کنید؟ اگر تصور شما بر این است که در زمان دانلود برنامهها همه چیز به خوبی پیش میرود و امنیت شما برقرار است، بهتر است کمی بیشتر احتیاط کنید.
به گزارش ایتنا از کسپرسکی آنلاین، به تازگی یک هکر کاملا حرفهای توانسته است بیش از هزاران اپلیکیشن مخرب را به برنامه های شخص ثالث و فروشگاه پرطرفدار گوگل پلی بیافزاید. این برنامههای مخرب به گونهای هستند که میتوانند تقریبا بر تمام فعالیتهای کاربر نظارت داشته باشند و آنها را مشاهده کنند. این نظارتها شامل ذخیره تماسها و برقراری تماس بدون اطلاع کاربران نیز میشود.
محققان امنیتی Lookout بیش از یک هزار اپلیکیشن جاسوسی را کشف کردند. آنها بر این باور هستند این نرم افزارهای مخرب به عراق مرتبط می شوند. این بدافزار که به خانواده "SonicSpy" متعلق است از ماه فوریه ۲۰۱۷ از چندین راه مختلف وارد گوگل پلی شده است. این برنامه از طریق جا زدن خود بهعنوان یک برنامه پیامرسان و پیشنهاد برقراری سرویس پیامرسانی گسترده میشده است. گوگل پس از گزارش برنامههای شناسایی شده توسط محققان امنیتی، سریعا آن ها را از فروشگاه حذف نمود.
نحوه عملکرد جاسوس افزارها به چه شکل است؟ یکی از برنامههای پیام رسان آلوده شده توسط SonicSpy که از طریق فروشگاه Google Play منتشر شده بود، بهعنوان یک ابزار ارتباطی به نام Soniac شناخته میشود. اما نباید از عملکردهای SonicSpy به راحتی گذشت، این جاسوس افزار می تواند عملکردهای مخربی را بر روی سیستم کاربر داشته باشد.
جاسوسی افزارهای SonicSpy می توانند در آنِ واحد فعالیتهای مخربی را مثل ضبط کردن مکالمات و صداهای ضبط شده از طریق میکروفن به صورت مخفیانه، به اختیار گرفتن دوربین تلفن و عکسهای مربوط به اسنپ، برقراری تماس با مخاطبین صاحب تلفن بدون اجازه او، فرستادن مسیج به لیستی که توسط مجرم انتخاب شده را داشته باشند.
جاسوس افزارها علاوه بر دسترسیهایی که ذکر شد میتوانند اطلاعات کاربر را همچون تاریخچه تماسها، اطلاعات مخاطبان و اطلاعات مربوط به دستگاه های وای فایی که دستگاه آلوده قبلا به آن ها متصل شده است را به سرقت برند و توسط آن به راحتی میتوانند کاربر را ردیابی و برای اهداف جاسوسی از آنها استفاده کنند.
این تهدیدات توسط محققان امنیتی Lookout کشف شدند. محققان در تحقیقات خود سه نوع مختلف از برنامههای پیام رسان آلودهشده توسط SonicSpy را در فروشگاه رسمی Google Play یافتند که هزاران بار از فروشگاه گوگل پلی دانلود شدهاند.
همانطور که در بالا به آن اشاره کردیم این جاسوس افزارها توسط محققان امنیتی شناسایی شدند که این برنامهها شامل Soniac، Hulk Messenger و Troy Chat بودند و توسعه دهندگان آنها را حذف کردند اما متاسفانه این برنامه ها همچنان به طور گسترده در فروشگاههای شخص ثالث و به همراه دیگر برنامههای آلودهشده توسط SonicSpy وجود دارند.
عراق با جاسوس افزار SonicSpy چه ارتباطی دارد؟ علت ارتباط دادن این بدافزار با عراق به دلیل شباهت بین SonicSpy و SpyNote است. SpyNote گونه ای دیگر از نرمافزارهای مخرب اندرویدی است که در سال گذشته شناسایی شد و بهعنوان یک برنامهNetflix شناختهشده بود و گفته میشود توسط یک هکر عراقی نوشته شده است.
محققان اعلام کردهاند که دلایل زیادی وجود دارد که نشان میدهد یک نفر پشت این دو بدافزار وجود دارد و آنها را به راه انداخته است، به طور مثال، شباهت در کدهای این دو گونه از نرم افزارها، استفاده از کدهای DNS پویا و اجرای آن بر روی پورتهای غیر استاندارد ۲۲۲۲ نشان میدهد که یک هکر دست به این دو حمله زده است.
در عین حال مهمترین نشانهای که محققان را از یکی بودن شخص پشت این حمله مطمئن می سازد نام اکانت سازنده ی SonicSpy است که برای هر دو iraqiwebservice بوده است و این اکانت بر روی فروشگاه گوگل پلی ثبت شده است.
عملکرد جاسوس افزار Sonic چگونه است؟ زمانی که این اپلیکیشن بر روی دستگاه قربانی نصب می شود، Soniac آیکون خود را از روی دستگاه کاربر آلوده شده پاک میکند تا که شخص نتواند آن را مشاهده کند و از دید آن پنهان بماند و سپس به سرور command and control به منظور تلاش برای نصب یک برنامه تلگرام دستکاری شده، اتصال برقرار میکند.
در هر صورت این اپلیکیشن شامل نرم افزارهای مخربی است که به مجرم این امکان را میدهد که اداره جدید دستگاه را به دست بگیرد و اطلاعات زیادی را به منظور جاسوسی به سرقت ببرد. در حال حاضر این اپلیکیشنها بین ۱۰۰۰ تا ۵۰۰۰ بار دانلود شده و توانسته هزاران کاربر را آلوده کند.
امکان قرارگیری مجدد جاسوس افزارSonic بر روی گوگل پلی وجود دارد با وجود اینکه توسعه دهندگان فروشگاه گوگل پلی برنامه های مخرب را از فروشگاه حذف کرده اند اما با این حال هشدار دادهاند که Sonic می تواند مجدد از راه های دیگر وارد شود و از هر ترفندی برای نفوذ استفاده کند.
همانطور که در ماه گذشته مقاله مربوط به آن را منتشر کردیم، بدافزار Xavier توانسته بود در بیش از ۸۰۰ برنامه اندرویدی پنهان شود و میلیونها بار ازفروشگاه گوگل پلی دانلود شود. اما امروزه مقالات امنیتی بسیاری در مورد نا امن بودن اپلیکیشنهای گوگل پلی منتشر میشود.
چه راهی برای در امان ماندن مقابل این بدافزارها وجود دارد؟ ۱. سادهترین راه برای مقابله با چنین بدافزارهایی که در پشت اپلیکیشنها پنهان میشوند این است که همیشه به گوش باشید و از دانلود اپلیکیشنهایی که آنها را نمی شناسید خودداری کنید و البته سعی کنید برنامههای برندهای معتبر را دانلود کنید.
۲. نظرات کاربرانی که قبلا برنامهها را دانلود کردهاند را حتما بخوانید و البته به امتیازات داده شده توسط آنها هم توجه کنید.
۳. هرگز برنامههای خود را از منابع شخص ثالث دانلود نکنید. بیشتر کاربرانی که آلوده شدهاند این بدافزار را از منابع شخص ثالث دانلود کرده بودند.
۴. به شما اکیدا توصیه میکنیم که از یک راهکار امنیتی مناسب و البته قابل اعتماد برای دستگاههای خود استفاده کنید. اینترنت سکیوریتی کسپرسکی برای اندروید چنین بدافزارهایی را در فروشگاههای مختلف شناسایی و فعالیت آنها را مسدود خواهد کرد. فراموش نکنید که نرمافزار امنیتی خود را همیشه به روز نگه دارید تا بتواند از دستگاههای شما محافظت کند.