اپلیکیشن‌های مخرب اندرویدی حاوی بدافزار Joker به آمار نیم میلیون نصب رسیدند

کمیته رکن چهارم – بدافزار اندرویدی Joker برای نفوذ به دستگاه‌های کاربران از طریق اپلیکیشن‌های موجود در گوگل پلی فعالیت می‌کند و به آمار نصب نیم میلیونی رسیده است.

کمپین بدافزاری جدید با نفود به گوگل پلی از طریق اپلیکیشن‌های متعدد، در دستگاه‌های هوشمند کاربران نصب می‌شود و هدف اصلی یعنی کلاهبرداری تبلیغاتی را انجام می‌دهد. بدافزار اصلی برای اجرای کمپین مورد نظر، Joker نام دارد. الکسیس کوپرینز، محقق تهدید امنیت سایبری شرکت CSIS Security Group هفته‌ی گذشته، اخبار ردگیری تروجان مذکور را به رسانه‌های اعلام کرد. او ادعا می‌کند که تاکنون ۲۴ اپلیکیشن اندرویدی آلوده به جوکر شناسایی شده‌اند.

آمار گروه امنیتی نشان می‌دهد که اپلیکیشن‌های مخرب تاکنون بیش از ۴۷۲ هزار بار در دستگا‌ه‌های قربانی نصب شده‌اند. این اپلیکیشن‌ها حاوی بدافزاری بودند که نام جوکر توسط همین گروه امنیتی برای آن انتخاب شد. البته این نام به یکی از نام‌های دامنه‌ی سرور C2 یا Command-and-Control دست‌اندرکاران کمپین نفوذ نیز مرتبط می‌شود.

بدافزار جوکر با استفاده از کدهای جاوا اسکریپت حضور خود را در دستگاه قربانی مخفی می‌کند. به‌علاوه با تکنیک‌های متعدد نیز کدهای بدافزار قفل می‌شوند. در بسیاری از موارد، بدافزار در فریمورک‌های تبلیغاتی متصل به اپلیکیشن‌های آلوده ادغام شده بود. کد این بدافزار شامل کاربردهای عمومی تروجان‌ها همچون دزدیدن پیامک، اطلاعات مخاطبان و اطلاعات دستگاه می‌شود. البته جوکر یک قدم فراتر می‌رود و با اجرای کمپین‌های تبلیغاتی در دستگاه قربانی، برای مجرم سایبری درآمد ایجاد می‌کند.

جوکر می‌تواند با شبیه‌سازی کلیک و ثبت‌نام مخفیانه‌ی کاربر در سرویس‌های پولی، با شبکه‌های تبلیغاتی و وب‌سایت‌ها تعامل کند. به‌عنوان مثال در برخی از دستگاه‌های قربانی در دانمارک، در سیستمی با هزینه‌ی هفتگی هفت دلار ثبت‌نام انجام شد. شبیه‌سازی کلیک، استخراج پیامک تأیید از داخل دستگاه و اتصال به کدهای وب‌سایت مقصد، فرایندی بود که قربانی را بدون اطلاع خودش در سرویس پولی ثبت‌نام می‌کرد. در موارد دیگر، رویکرد ساده‌تری از سوی بدافزار انجام شده و شاید تنها پیامکی به سرویس‌های پولی مخابراتی ارسال شود.

درحال حاضر ۳۷ کشور به‌عنوان مقاصد حمله‌ها و کمپین‌های جوکر کشف شده‌اند. از میان آن‌ها می‌توان به چین، بریتانیا، آلمان، فرانسه، سنگاپور و استرالیا اشاره کرد. بسیاری از اپلیکیشن‌هایی که توسط گروه امنیتی کشف شدند، شامل فهرستی از کدهای موبایل کشورهای گوناگون (MCC) هستند. جوکر برای فعالیت بهتر ابتدا شماره‌ی سیم‌کارت گوشی قربانی را پیدا می‌کند و سپس آن را با فهرست MCC تطبیق می‌دهد. به‌عنوان مثال بسیاری از این اپلیکیشن‌ها بدافزار را روی دستگاه کاربران آمریکایی و کانادایی نصب نمی‌کنند. البته برخی از آن‌ها هم هیچ محدودیتی در اجرا در کشورهای گوناگون ندارند.

google play

هنوز اطلاع زیادی از فرد یا گروه اجراکننده‌ی کمپین جوکر در دست نیست. البته رابط کاربری مدیریت C2 و برخی از کدهای موجود نشان می‌دهد که توسعه‌دهنده‌های بدافزار احتمالا چینی هستند. گوگل به‌خاطر تعداد بالای نصب پیش از انتشار رسمی اخبار نفوذ جوکر از سوی گروه امنیتی، تمامی اپلیکیشن‌های مخرب را از گوگل پلی حذف کرد. به‌هرحال اگر شما هریک از اپلیکیشن‌های زیر را در دستگاه اندرویدی خود نصب کرده‌اید، تأکید می‌شود که در اولین فرصت آن‌ها را حذف کنید:

Advocate Wallpaper
Age Face
Altar Message
Antivirus Security – Security Scan
Beach Camera
Board picture editing
Certain Wallpaper
Climate SMS
Collate Face Scanner
Cute Camera
Dazzle Wallpaper
Declare Message
Display Camera
Great VPN
Humour Camera
Ignite Clean
Leaf Face Scanner
Mini Camera
Print Plant scan
Rapid Face Scanner
Reward Clean
Ruddy SMS
Soby Camera
Spark Wallpaper

رخداد کنونی، دومین مرتبه در هفته‌های گذشته است که بدافزار در اپلیکیشن‌های مشهور اندرویدی کشف می‌شود. در ماه اوت، کسپرسکی خبر از کشف بدافزار اندرویدی در اپلیکیشن مشهور CamScanner داد. کوپرینز در پایان اطلاع‌رسانی پیرامون کمپبن سایبری و بدافزار جوکر، به اهمیت مجوز در اپلیکیشن‌های اندرویدی اشاره کرد. او تأکید می‌کند که کاربران هنگام نصب توجه زیادی به دسترسی‌های مورد نظر اپلیکیشن داشته باشند. برخی از اپلیکیشن‌های مخرب در همان مراحل نصب به‌روشنی دسترسی به بخش‌هایی را درخواست کرده بودند که برای کارایی اصلی، نیازی به آن‌ها نداشتند. هرگاه چنین مجوزهایی را در اپیکیشن‌های اندرویدی و خصوصا انواع کوچک و کمتر شناخته‌شده مشاهده کردید، بهتر است درباره‌ی نصب آن تجدیدنظر کنید.

منبع : زومیت