آلودگی 4.2 میلیون کاربر اندروید با تکنیکهای پیچیده بدافزار expensivewall
ایتنا- این بدافزار به منظور جلوگیری از شناسایی شدن، برنامههای مخرب را فشرده و آنها را رمزنگاری میکند.
فروشگاه گوگل پلی به تازگی 50 اپلیکیشن را که بدافزار " ExpensiveWall" به آنها نفوذ کرده است را از فروشگاه خود حذف نموده است. به گفته محققان امنیتی Check Point، این بدافزار که بین 1 میلیون تا 4.2 میلیون بار دانلود شده است،در هنگام نصب مانند دیگر نرمافزارها، اجازههایی مانند دسترسی به اینترنت و SMS را از کاربر دریافت میکند که برای عضو کردن صاحب تلفن در سرویس های هزینه بر مانند خدمات پیامکی پولی مورد استفاده قرار میگیرد.محققان گفتهاند که این بدافزار به طور عمده با اپلیکیشنی برای تصویر بک گراند یا همان پس زمینه با نام Lovely Wallpaper همراه شده است.
به گزارش ایتنا از کسپرسکی آنلاین، محققین امنیتی در وبلاگی در روز پنچشنبه نوشتند: "ExpensiveWall نوع جدیدی از بدافزارها است که اوایل امسال در فروشگاه گوگل پلی قرار گرفت. کل خانوادههای این بدافزار بین 5.9 میلیون تا 21.1 میلیون دفعه دانلود شدهاند".
گونه این بدافزار با دیگر هم نژادهایش به دلیل استفاده از تکنیکهای پیچیده که "packed" نامیده میشوند، متفاوت است. این بدافزار به منظور جلوگیری از شناسایی شدن، برنامههای مخرب را فشرده و آنها را رمزنگاری میکند. گوگل از وجود این بدافزار در هفتم ماه آگوست خبردار شد و فورا آن ها را از فروشگاه حذف کرد. به گفته محققان چندی پس از حذف اپلیکیشنهای حاوی بدافزار، ExpensiveWall در یک اپلیکیشن ناشناس دیگر در گوگل پلی ظاهر شد. Check Point همچنین گفت: قبل از حذف اپلیکیشنهای مخرب در گوگل پلی حدود 5000 دستگاه دچار آلودگی شدند.
در حالی که تعداد اپلیکیشنهای آلوده شده توسط این بدافزار کم نبوده است اما گوگل پلی تمامی آنها را حذف و مانع ورود آنها به دیگر اپلیکیشنها شد. همه به خوبی میدانیم که بستن راه برای بدافزارها کاری غیر ممکن است، به قول معروف در را بر روی آنها ببندی از دیوار بالا خواهند آمد.
همانطور که قبلا مقاله آن را منتشر ساختیم یکی دیگر از جاسوس افزارهای اندروید که sonicspy نامیده شد، ماه گذشته از فروشگاه محبوب گوگل پلی حذف شد. همچنین در ماه می بدافزاری به نام Judy36 میلیون بار از فروشگاه گوگل پلی دانلود و در 40 اپلیکیشن یافت شد. بدافزارهای بسیاری همانند Dvmap, SMSVova, Ztorg بودند که گوگل مجبور شد آنها را از گوگل پلی حذف کند و مانع آلودگی بیشتر کاربران شوند.
طبق گفته محققان، هنوز مشخص نشده است که ExpensiveWall چه مقدار درآمد حاصل از کلاهبرداری خود داشته است. آنها میگویند این خیلی مهم است که هر اپلیکیشن آلوده ای قبل از اینکه بر روی دستگاه های کاربران نصب شود، از فروشگاه حذف شود و اجازه ی شیوع آن به مجرمان داده نشود. بسیاری از کاربران هستند که این اپلیکیشنها را دانلود کردهاند و متاسفانه بدافزار در دستگاه آنها وجود دارد. توصیه می شود به کاربران که فورا چنین برنامههایی را از دستگاه خود حذف و
سریعا ازیک ابزار حذف ویروس برای پاکسازی دستگاه خود استفاده کنند.
آنها میگویند هنگامی که یک دستگاه اپلیکیشنی را که حاوی بدافزار ExpensiveWall است را نصب میکنند، بدافزار چندین مجوز را از جمله دسترسی به اینترنت برای اتصال به سرور C&Cو مجوزهای مسیج را برای ثبت نام کاربران به منظور خدمات پرداخت و ارسال مسیجهای حقوقی درخواست میکند. محققان بر این باور هستند که ممکن است اپلیکیشنها اقدامات امنیتی فروشگاه گوگل پلی را دزدیه باشند چرا که مجوزهای مورد نیاز برای این کلاهبرداری کاملا غیر معمولاست و بدافزار اپلیکیشنهای مشروع را مورد هدف حمله خود قرار داده است.
ExpensiveWall شامل یک رابط کاربری است که به عملکردهای درون برنامه و کد جاوا اسکریپت متصل میشود و بر روی یک رابط وب به نام WebView اجرا می شود. این بدان معنی است که جاوا اسکریپت در داخل WebView می تواند فعالیت های اپلیکیشنها را مختل کند.
پس از نصب و اعطای مجوزها، ExpensiveWall اطلاعات مربوط به دستگاه آلوده را (همانند مکان دستگاه، شناسههای منحصر بفرد مانند MAC، آدرس آی پی،IMSI و IMEI) را به سرور C&C خود ارسال میکند.
هنگامی که یک کاربر اندروید تلفن هوشمند خود را روشن میکند یا که تنظیمات اتصال را تغییر می دهد، بدافزارها به سرور C&C متصل میشوند و یک URL دریافت می کنند. URL در یک WebView جاسازی شده بازمی شود. این صفحه شامل یک کد جاوااسکریپت مخرب است که میتواند با استفاده از رابط جاوااسکریپت توابع درون اپلیکیشنها را همانند سرویسهای هزینه بر و ارسال پیام های SMS، فراخوانی کند.