آلودگی ۴٫۲ میلیون کاربر اندروید با تکنیک‌های پیچیده بدافزار expensivewall

کمیته رکن چهارم – این بدافزار به منظور جلوگیری از شناسایی شدن، برنامه‌های مخرب را فشرده و آنها را رمزنگاری می‌کند.

فروشگاه گوگل پلی به تازگی ۵۰ اپلیکیشن را که بدافزار  ” ExpensiveWall” به آنها نفوذ کرده است را از فروشگاه خود حذف نموده است. به گفته محققان امنیتی  Check Point، این بدافزار که بین ۱ میلیون تا ۴٫۲ میلیون بار دانلود شده است، در هنگام نصب مانند دیگر نرم‌افزارها، اجازه‌هایی مانند دسترسی به اینترنت و SMS را از کاربر دریافت می‌کند که برای عضو کردن صاحب تلفن در سرویس های هزینه بر مانند خدمات پیامکی پولی مورد استفاده قرار می‌گیرد. محققان گفته‌اند که این بدافزار به طور عمده با اپلیکیشنی برای تصویر بک گراند یا همان پس زمینه با نام Lovely Wallpaper همراه شده است.

محققین امنیتی در وبلاگی در روز پنچشنبه نوشتند: “ExpensiveWall نوع جدیدی از بدافزارها است که اوایل امسال در فروشگاه گوگل پلی قرار گرفت. کل خانواده‌های این بدافزار بین ۵٫۹ میلیون تا ۲۱٫۱ میلیون دفعه دانلود شده‌اند”.

گونه این بدافزار با دیگر هم نژادهایش به دلیل استفاده از تکنیک‌های پیچیده که “packed”  نامیده می‌شوند، متفاوت است. این بدافزار به منظور جلوگیری از شناسایی شدن، برنامه‌های مخرب را فشرده و آنها را رمزنگاری می‌کند.
گوگل از وجود این بدافزار در هفتم ماه آگوست خبردار شد و فورا آن ها را از فروشگاه حذف کرد. به گفته محققان چندی پس از حذف اپلیکیشن‌های حاوی بدافزار، ExpensiveWall در یک اپلیکیشن ناشناس دیگر در گوگل پلی ظاهر شد.
Check Point همچنین گفت: قبل از حذف اپلیکیشن‌های مخرب در گوگل پلی حدود ۵۰۰۰ دستگاه دچار آلودگی شدند.

در حالی که تعداد اپلیکیشن‌های آلوده شده توسط این بدافزار کم نبوده است اما گوگل پلی تمامی آنها را حذف و مانع ورود آنها به دیگر اپلیکیشن‌ها شد. همه به خوبی می‌دانیم که بستن راه برای بدافزارها کاری غیر ممکن است، به قول معروف در را بر روی آنها ببندی از دیوار بالا خواهند آمد.

همانطور که قبلا مقاله آن را منتشر ساختیم یکی دیگر از جاسوس افزارهای اندروید که sonicspy نامیده شد، ماه گذشته از فروشگاه محبوب گوگل پلی حذف شد. همچنین در ماه می بدافزاری به نام Judy36  میلیون بار از فروشگاه گوگل پلی دانلود و در ۴۰ اپلیکیشن یافت شد. بدافزارهای بسیاری همانند Dvmap, SMSVova, Ztorg بودند که گوگل مجبور شد آنها را از گوگل پلی حذف کند و مانع آلودگی بیشتر کاربران شوند.

طبق گفته محققان، هنوز مشخص نشده است که ExpensiveWall چه مقدار درآمد حاصل از کلاهبرداری خود داشته است. آنها می‌گویند این خیلی مهم است که هر اپلیکیشن آلوده ای قبل از اینکه بر روی دستگاه های کاربران نصب شود، از فروشگاه حذف شود و اجازه ی شیوع آن به مجرمان داده نشود. بسیاری از کاربران هستند که این اپلیکیشن‌ها را دانلود کرده‌اند و متاسفانه بدافزار در دستگاه آنها وجود دارد. توصیه می شود به کاربران که فورا چنین برنامه‌هایی را از دستگاه خود حذف و
سریعا از یک ابزار حذف ویروس برای پاکسازی دستگاه خود استفاده کنند.

آنها می‌گویند هنگامی که یک دستگاه اپلیکیشنی را که حاوی بدافزار ExpensiveWall است را نصب می‌کنند، بدافزار چندین مجوز را از جمله دسترسی به اینترنت برای اتصال به سرور C&C و مجوزهای مسیج را برای ثبت نام کاربران به منظور خدمات پرداخت و ارسال مسیج‌های حقوقی درخواست می‌کند. محققان بر این باور هستند که ممکن است اپلیکیشن‌ها اقدامات امنیتی فروشگاه گوگل پلی را دزدیه باشند چرا که مجوزهای مورد نیاز برای این کلاهبرداری کاملا غیر معمول است و بدافزار اپلیکیشن‌های مشروع را مورد هدف حمله خود قرار داده است.

ExpensiveWall شامل یک رابط کاربری است که به عملکردهای درون برنامه و کد جاوا اسکریپت متصل می‌شود و بر روی یک رابط وب به نام WebView اجرا می شود. این بدان معنی است که جاوا اسکریپت در داخل WebView می تواند فعالیت های اپلیکیشن‌ها را مختل کند.

پس از نصب و اعطای مجوزها، ExpensiveWall اطلاعات مربوط به دستگاه آلوده را (همانند مکان دستگاه، شناسه‌های منحصر بفرد مانند MAC ، آدرس آی پی، IMSI و IMEI) را به سرور C&C خود ارسال می‌کند.

هنگامی که یک کاربر اندروید تلفن هوشمند خود را روشن می‌کند  یا که تنظیمات اتصال را تغییر می دهد، بدافزارها به سرورC&C متصل می‌شوند و یک URL دریافت می کنند. URL در یک WebView جاسازی شده باز می شود. این صفحه شامل یک کد جاوااسکریپت مخرب است که می‌تواند با استفاده از رابط جاوااسکریپت توابع درون اپلیکیشن‌ها را همانند سرویس‌های هزینه بر و ارسال پیام های SMS، فراخوانی کند.

منبع : ایتنا