کمیته رکن چهارم – محققان امنیتی، ۷۵ اپلیکیشن را در فروشگاه گوگلپلی و ۱۰ اپلیکیشن دیگر در اپاستور اپل شناسایی کردهاند که همهی آنها ازجمله بدافزارهای تبلیغاتی محسوب میشوند. این برنامهها درمجموع ۱۳ میلیونبار روی گوشیهای کاربران نصب شدهاند.
علاوهبر سیل تبلیغات فراوانی که هر روز به کاربران گوشیهای هوشمند نمایش داده میشوند، برنامههای تقلبی نیز با جعلهویت اپلیکیشنهای محبوب سعی دارند با نمایش تبلیغات آشکار و پنهان، کسب درآمد کنند. اگرچه ایننوع برنامهها بهعنوان تهدید جدی درنظر گرفته نمیشوند، اما سازندگان میتوانند برای فعالیتهای خطرناک از آنها بهره ببرند.
تیم امنیتی Satori Threat Intelligence HUMAN مجموعهای از برنامههای گوشیهای هوشمند را شناسایی کرده است که درواقع بخشی از یک کمپین جدید کلاهبرداری تبلیغاتی موسوم به Scylla هستند.
تحلیلگران باور دارند که Scylla درواقع موج سوم عملیاتی است که اولینبار با نام Poseidon در آگوست ۲۰۱۹ شناسایی شد. موج دوم این کمپین Charybdis نام داشت که اواخر سال ۲۰۲۰ بهاوج فعالیت خود رسید.
برنامههای کلاهبرداری تبلیغاتی
تیم Satori، درمورد اپلیکیشنهای تبلیغاتی کلاهبرداری به گوگل و اپل اطلاع داده است و این برنامهها اکنون از فروشگاههای رسمی اندروید و iOS حذف شدهاند. اگر در دستگاه اندروید خود، گزینهی امنیتی Play Protect را فعال کرده باشید، این برنامهها احتمالاً بهطور خودکار شناسایی شدهاند.
در iOS نحوهی حذف برنامههای تبلیغاتی که از قبل روی دستگاه کاربران نصب شدهاند دقیقاً مشخص نیست. Human به کاربران توصیه میکند برنامههای جعلی را هرچه سریعتر از روی دستگاه خود حذف کنند. فهرست این برنامهها برای دو سیستمعامل اندروید و iOS در ادامه آورده شده است:
فهرست اپلیکشینهای جعلی تبلیغاتی در iOS:
Loot the Castle – com.loot.rcastle.fight.battle (id1602634568)
Run Bridge – com.run.bridge.race (id1584737005)
Shinning Gun – com.shinning.gun.ios (id1588037078)
Racing Legend 3D – com.racing.legend.like (id1589579456)
Rope Runner – com.rope.runner.family (id1614987707)
Wood Sculptor – com.wood.sculptor.cutter (id1603211466)
Fire-Wall – com.fire.wall.poptit (id1540542924)
Ninja Critical Hit – wger.ninjacriticalhit.ios (id1514055403)
Tony Runs – com.TonyRuns.game
فهرست اپلیکیشنهای جعلی تبلیغاتی در اندروید که بیشاز یک میلیونبار دانلود شدهاند:
Super Hero-Save the world! – com.asuper.man.playmilk
Spot 10 Differences – com.different.ten.spotgames
Find 5 Differences – com.find.five.subtle.differences.spot.new
Dinosaur Legend – com.huluwagames.dinosaur.legend.play
One Line Drawing – com.one.line.drawing.stroke.yuxi
Shoot Master – com.shooter.master.bullet.puzzle.huahong
Talent Trap – NEW – com.talent.trap.stop.all
فهرست کامل برنامههای جعلی تبلیغاتی اندروید و iSO که بخشی از موج کلاهبرداری Scylla هستند در گزارش HUMAN ارائه شده است.
جزئیات بدافزار
شناسهی بستهی بدافزارهای Scylla معمولاً با نام ناشر آنها مطابقت ندارد تا به تبلیغکنندگان نشان دهد کلیک یا نمایش آگهیها از یک دستهی نرمافزاری خاص، سودآورتر است. محققان Human دریافتهاند که ۲۹ برنامهی از سری Scylla تا ۶۰۰۰ برنامهی مبتنیبر CTV را جعل کرده و شناسههای تبلیغاتی آنها بهمنظور جلوگیری از شناساییشدن، بهطور منظم تغییر میکند.
تبلیغات در اندروید ازطریق پنجرههای WebView پنهان بارگذاری میشوند و بنابراین شخص قربانی هرگز متوجه نکتهی مشکوکی نخواهد شد زیرا همهی اتفاقها در پسزمینهی دستگاه رخ میدهند.
علاوهبراین، ابزار تبلیغاتی مورداشاره از سیستم JobScheduler برای راهاندازی رویدادهای نمایش تبلیغات بهره میبرد و بنابراین حتی زمانیکه قربانیان بهطور فعال از دستگاههای خود استفاده نمیکنند، مثلاً هنگام خاموش بودن نمایشگر، از آن برای نمایش آگهیها بهره میبرند.
نشانههای تقلب در فایلهای گزارش سیستمعامل ثبت میشوند، اما کاربران عادی، این موارد را بررسی نمیکنند.
برنامههای Scylla درمقایسه با Poseidon از لایههای دیگری مثل Allatori برای مبهمتر کردن کد جاوا بهره میبرند. این فرایند امکان تشخیص و مهندسی معکوس بدافزارهای تبلیغاتی را برای محققان امنیتی دشوارتر میکند.
کاربران باید برنامههای خود را ازنظر میزان مصرف باتری و همچنین میزان مصرف دادههای اینترنت مورد بررسی قرار دهند تا بدینترتیب موارد مشکوک را شناسایی کنند. علاوهبراین، توصیه میشود فهرست برنامههای نصبشده روی گوشی هوشمند خود را مرور و نمونههایی که بهیاد ندارید آنها را نصب کرده باشید حذف کنید.
منبع : زومیت