کمیته رکن چهارم – بیش از ۵۰۰ اپلیکیشن مختلف بر پایه سیستم عامل اندروید که ۱۰۰ میلیون بار از فروشگاه آنلاین گوگل پلی دانلود شدهاند، توسط یک کتابخانه تبلیغاتی مخرب آلوده شدهاند. این جاسوسافزار به صورت مخفیانه اپلیکیشنهای جاسوسی را در بین کاربران توزیع و میتواند فعالیت های مخربی را برای کاربران در پی داشته باشد.
همانطور که میدانید بیش از ۹۰ درصد برنامههای فروشگاه گوگل پلی قابل دانلود و رایگان هستند و از این رو منبع اصلی درآمد توسعه دهندگان به کار بردن تبلیغات در اپلیکیشنها است. و اما در این مورد توسعه دهندگان کتابخانه تبلیغاتی SDK و مربوط به اندروید را در برنامههای خود ادغام کردند که البته در بیشتر مواقع بر روی عملکرد اصلی اپلیکیشن تأثیری ندارد.
اما این بار تبلیغات به منظور جاسوسی کاربران انجام شده است. محققان امنیتی در کمپانی Lookout یک کیت توسعه دهنده نرمافزار یا همان SDK را که Igexin نامیده شده است و از دستگاههای اندرویدی سوء استفاده می کند. بدافزار Igexin در بیش از ۵۰۰ اپلیکیشن یافت شده است و توسط یک کمپانی چینی به منظور ارائه خدمات تبلیغاتی هدفمند برای توسعه دهندگان نرمافزارهایی که بیشتر آنها به اپلیکیشن های بازی اختصاص داده شده بودند، مورد جاسوسی قرار گرفت. اپلیکیشن ها شامل:
اپلیکیشن هایی مرتبط با هواشناسی که ۵ میلیون بار دانلود شده بودند
اپلیکیشن های ویرایش عکس که ۵ میلیون بار دانلود شده بودند
اپلیکیشنهای رادیویی اینترنت با ۱ میلیون دانلود
اپلیکیشنهای دیگر برای آموزش، سلامت، ورزش، تناسب اندام، مسافرت و شکلک ها با تعداد دفعات دانلود نامشخص
جاسوسی شرکتهای تبلیغاتی چینی از کاربرانی که سیستم عاملهای اندروید دارند
در واقع این بدافزار با هدف جاسوسی از کاربران و کسب درآمد از این راه ایجاد شده است. اما اپلیکیشنها دقیقا چه کاری را انجام میدهند؟ SDK اطلاعات مربوط به کاربران را جمع آوری و با تبلیغات هدفمند آن ها را مورد حمله قرار میدهد.
محققان امنیتی میگویند SDK علاوه بر جمع آوری اطلاعات کاربران، رفتار مخربی را دارد. محققان این رفتار را پس از مشاهده ارتباط برنامههای برپایه Igexin با آدرسهای IP مشکوک کشف کردند که از این طریق یک بدافزار را به دستگاه هایی که در حال استفاده از این برنامهها هستند، منتقل میکنند.
آنها همچنین افزودند : “ما مشاهده کردیم که یک برنامه فایلهای رمزنگاری شده و دارای حجم زیاد را پس از ایجاد یک سری از درخواستهای اولیه به یک REST API در http://sdk[.]open[.]phone[.]igexin.com/api.php دانلود میکند که درنهایت توسط Igexin ad SDK مورد استفاده قرار میگیرد. این نوع ترافیک اغلب نتیجه این گونه نرمافزارهای مخرب است که پس ازاینکه برنامه پاک اولیه نصب شد، به منظور جلوگیری از شناسایی شدن شروع به دانلود و اجرای کد می کنند”.
پس از نفوذ بدافزار به دستگاه قربانی، SDK قادر است اطلاعات مربوط به کاربر مورد حمله را از روی دستگاه او جمعآوری و همچنین میتواند افزونه های دیگر را بر روی دستگاه مربوطه نصب کند که این افزونه ها قادر به جمع آوری اطلاعات مربوط به تماسها یا دیگر فعالیت های کاربر هستند.
چگونه از سیستم عامل اندرویدی خود در برابر چنین حملاتی محافظت کنیم؟
- در حال حاضر گوگل تمام اپلیکیشنهایی که از rogue SDK استفاده می کردند را از فروشگاه خود پاک کرده است. اما یک تهدید برای کاربرانی که اپلیکیشن ها را بر روی دستگاههای خود نصب کرده اند وجود دارد. از این رو این کاربران بایستی از این امر اطمینان حاصل کنند که Google Play Protect بر روی گوشی آنها نصب شده باشد.محافظت گوگل پلی یا همان Google Play Protect یک امکان امنیتی در گوگل است که از فراگیری ماشین و آنالیز اپلیکیشنها برای شناسایی بدافزارها استفاده میکند تا بتواند آن ها را از روی دستگاههای هوشمند حذف و از خطرات احتمالی جلوگیری کند.
از یک نرم افزار امنیتی مناسب برای تلفن هوشمند خود استفاده کنید. به کار گرفتن یک نرم افزار امنیتی این امکان را برای شما مهیا می شود که قبلا از اینکه بدافزار به سیستم شما نفوذ کند، نرمافزار آن را شناسایی و فعالیت های مخرب آن را مسدود کند. شما همچنین می توانید نسخه ی رایگان آنتی ویروس برای اندروید کسپرسکی را از فروشگاه گوگل پلی دانلود کنید.
همیشه به اپلیکیشنها مشکوک باشید و از دانلود اَپهایی که آنها را نمیشناسید خودداری کنید. و البته اعتماد چندانی به امتیازاتی که توسط کاربران دیگر داده شده است، نکنید.
جای تاسف دارد اما گفتنی است که بدافزارها در حال رشد هستند و کاربران را محاصره کرده اند. هر روزه قابلیتهای جدیدی به آنها افزوده میشود که تشخیص آنها را مشکل و کاربران را اسیر خود میکنند. در هفتههای گذشته بدافزارهای بسیاری کشف شد که توانسته بودند مشابه همین راهها کاربران را آلوده و به جمعآوری اطلاعات آنها بپردازد.
منبع : ایتنا