ايتنا - شیوع بدافزارها در گوگل‌پلی و خطراتی که به همراه دارد!

دو سال گذشته در ماه اکتبر 2015 ما مقاله‌ای در مورد یک بدافزار محبوب منتشر ساختیم که در فروشگاه گوگل پلی توزیع شده بود. ما طی دو سالی که پشت سر گذاشتیم مجددا مشابه این بدافزار را در فروشگاه گوگل پلی شناسایی کردیم اما در اکتبر و نوامبر سال 2017، 85 برنامه مخرب در گوگل پلی شناسایی کردیم که توانسته بودند اعتبار نامه‌ها را از اپلیکیشن VK.com به سرقت ببرند.

به گزارش ایتنا از کسپرسکی آنلاین، تمامی برنامه‌های مخرب توسط راهکارهای امن لابراتوار کسپرسکی به عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند. ما 72 گونه از آن ها را به گوگل گزارش دادیم و این برنامه‌های مخرب از گوگل پلی حذف گردیدند و 13 برنامه ی دیگر نیز قبل از آن حذف شده بودند. علاوه بر این، ما این سرقت را با جزئیات فنی به VK.comگزارش دادیم. یکی از برنامه‌ها در گوگل پلی در پشت یک برنامه ی بازی پنهان شده بود و بیش از یک میلیون بار از فروشگاه گوگل دانلود شده بود.

برخی از اپلیکیشن های محبوب دیگر بین برنامه‌های مخرب وجود داشت که هفت برنامه از بین آن ها 10.000 تا 100.000 بار و نه برنامه بین 1000 تا 10.000بار از گوگل پلی دانلود و توسط کاربران نصب شده بود. برنامه‌های دیگر کمتر از 1000 بار توسط کاربران دانلود و نصب شده بودند.

برنامه‌های مخرب روی فروشگاه گوگل پلی با عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند.
اکثر این برنامه‌ها در اکتبر سال 2017 در گوگل پلی آپلود شدند قابل ذکر است که چندین برنامه ی دیگر از بین آنها در ماه های قبل یعنی ژوئیه در این فروشگاه آپلود شده بودند، یعنی توزیع برخی از آنها در سه ماه قبل انجام شده بود. نکته قابل توجه اینجا است که محبوب ترین برنامه‌ها در ابتدای ماه مارس 2017 به فروشگاه گوگل پلی اضافه و در آن جا آپلود شدند، در آن زمان هیچ کد مخربی بر روی این برنامه‌ها وجود نداشت و فقط بازی بودند. مجرمان سایبری در ماه اکتبر برنامه های آپلود شده را با نسخه‌های مخرب به روز کردند و 7 ماه برای نتیجه دادن این عمل مخربانه انتظار کشیدند!

تمامی برنامه‌های مخرب همانند اپلیکیشن VK.com به نظر می آمدند، این برنامه‌ها برای گوش دادن به موسیقی یا نظارت بر بازبینی صفحات کاربر مورد توجه کاربران قرار گرفتند.

بی‌شک چنین برنامه‌هایی به یک کاربر برای ورود به حساب کاربری نیاز دارند، به همین دلیل است که به نظر کاربران مشکوک نمی‌آیند. تنها برنامه‌هایی که قابلیت‌های برنامه ی VK- را نداشتند، برنامه‌های واقعی و بی خطر بودند. زیرا VK در اکثر کشورهای غربی محبوب است مجرمان سایبری این محبوبیت را بی جواب نگذاشته اند و از اعتبارنامه‌های VK تنها برای کاربرانی با زبان های خاص روسی، اوکراینی، قزاق، ارمنی، آذربایجان، بلاروس، قرقیزستان، رومانیایی، تاجیک و ازبک استفاده کرده بودند.

بیش از دوسال بود که مجرمان سایبری برنامه های مخرب خود را در گوگل پلی منتشر ساخته بودند بنابراین آن ها مجبور به تغییر کد های مخرب برای جلوگیری از شناسایی شدند.
این اپلیکیشن‌ها از یک VK SDK تغییر داده شده توسط کدهای فریب دهنده استفاده می کنند که کاربران می توانند به پیج استاندارد خود لاگین کنند اما مجرمان سایبری با استفاده از کدهای مخرب JS اعتبارنامه را از بخش لاگین پیج می‌گیرند و آنها را به برنامه دیگری منتقل می کنند.

پس از آن اعتبارنامه ها رمزنگاری و در وب سایت‌های آلوده آپلود می‌شوند.
نکته‌ جالبی که وجود دارد این است که اگر چه بسیاری از این برنامه‌های مخرب دارای ویژگی‌های توصیف شده ای بودند اما برخی از آنها تفاوت هایی نیز داشتند. آن ها همچنین از کدهای OnPageFinished استفاده کردند که نه تنها برای استخراج اعتبار بلکه برای آپلود آنها هم مورد استفاده قرار گرفتند.

تصور کلی ما در مورد این فریب این است که مجرمان بیشتر از سرقت اعتبار نامه ها در VK.com استفاده می‌کنند. آنها به طور مخفیانه کاربران را به گروه های مختلف برای ترویج محبوبیت خود اضافه می‌کنند و از این راه در میان کاربران دیگر شهرت زیادی بدست می آوردند. ما این موضوع را از شکایات کاربران در مورد اینکه حساب‌های آنها به چنین گروه‌هایی اضافه شده است، دریافته‌ایم.

دلیل دیگر برای فکر کردن به این موضوع این است که ما چندین برنامه را در گوگل پلی یافتیم که توسط همان مجرمان سایبری با عنوان Trojan-PSW.AndroidOS.MyVk.o منتشر شده بود. مجرمان توانسته بودند یک برنامه ی غیر رسمی تگرام را برای کاربران که برنامه ی محبوب پیام رسان در میان کاربران بود را منتشر سازند. همگی آن ها توسط راهکارهای کسپرسکی به عنوان یک ویروس با نام HEUR:RiskTool.AndroidOS.Hcatam.a شناسایی شدند. ما در مورد این برنامه‌ها نیز به گوگل متذکر شدیم و آن ها را از فروشگاه گوگل پلی حذف نمودیم.

این برنامه‌ها نه تنها به شکل اپلیکشن‌های تلگرام تغییر ظاهر داده بودند بلکه با استفاده از منبع باز Telegram SDK ایجاد شده بودند و تقریبا مانند هر برنامه دیگری کار می کردند. فرق آنها با تلگرام واقعی در این بود که کاربران برای ارتقاء گروه ها و چت‌ها به این اپلیکیشن‌ها افزوده می‌شدند. این برنامه‌ها لیستی با گروه‌ها یا چت ها را از سرور خود دریافت می کردند. علاوه بر این مجرمان قادرند کاربران را به گروه ها در هر زمان که مایل باشند، اضافه می‌کنند. برای این کار آن ها یک GCM token که به مجرمان اجازه می‌دهد تا دستورات 24/7 را ارسال کنند را به سرقت می‌برند.
مورد دیگری که ما در تحقیقات خود کشف کردیم در مورد آلودگی وب سایت extensionsapiversion.space. است. با توجه به آمار KSN کسپرسکی در برخی موارد مجرمان با استفاده از API برای http://coinhive.com به ماینینگ کریپتوکارنسی‌ها پرداخته‌اند.