کمیته رکن چهارم – نرمافزارهای آلوده به بدافزار بار دیگر دیگر وارد گوگلپلی شدند و شرکت امنیتی سیمانتک هشدار میدهد که این برنامهها حداقل روی ۶۰۰ هزار دستگاه نصب شده است.
این شرکت امنیتی در تجزیه و تحلیل دقیق این بدافزار تشریح کرد که در برنامههایی که به Sockbot آلوده شدهاند، این بدافزار، پروکسی SOCKS را روی هر دستگاهی نصب میکند و منتظر دریافت دستورات از طرف نویسنده میماند.
سیمانتیک میگوید هدف اولیه این برنامهها ایجاد درآمد از طریق تبلیغات بود، اما در صورت لزوم، این بدافزار میتواند به راحتی دستگاه آسیبدیده را به یکی از اعضای باتنت بزرگتر تبدیل کند که حتی حملات منع سرویس توزیعشده را امکانپذیر میسازد. ۸ برنامه متفاوت در گوگلپلی منتشر شد که آلوده بودن آنها به Sockbot تایید شده است، و همه آنها توسط گوگل حذف شدهاند. با این حال، سیمانتیک برآورد میکند که بین ۶۰۰ هزار تا ۲٫۶ میلیون دستگاه، این برنامههای آلوده را بارگیری کردهاند.
کاربران در آمریکا، روسیه، اوکراین، برزیل، و آلمان، مورد هدف قرار گرفتند، این بدافزار داخل برنامههایی که پوستههای جدیدی برای ویرایش Pocket از Minecraft ارائه میدهد، تزریق شد و توسط یک حساب کاربری به نام FunBaster توسعه داده شد. سیمانتیک میگوید: «کد مخرب، مبهمسازی شده و رشتههای کلید، رمزنگاری شده است و روشهای تشخیص سطح پایه را خنثی میکند. علاوه بر این، توسعهدهنده، هر برنامه را با کلید توسعه متفاوتی امضاء میکند که این کار به جلوگیری از تشخیص مبتنی بر تحلیلهای ثابت کمک میکند.»
هنگامی که یک دستگاه اندروید با Sockbot آلوده میشود، نرمافزارهای مخرب از طریق درگاه ۹۰۰۱ به یک کارگزار دستور وکنترل (C&C) متصل میشوند تا دستورات را دریافت کنند و در بیشتر موارد، فهرستی از تبلیغات و فرادادهی مربوطه مانند تبلیغات و نام اندازه صفحه نمایش را بازیابی میکند. هیچ تبلیغاتی در دستگاه اندرویدی آسیبدیده تزریق نشده است. به کاربران اندرویدی که قبلا چنین برنامهای را نصب کردهاند، توصیه میشود که هر چه سریعتر آن را حذف کنند، مگر اینکه قبلا گوگل این کار را انجام داده باشد. اکثر راهکارهای امنیتی اندروید برای تشخیص Sockbot و پاکسازی آلودگی قبلا بهروزرسانی شده است.
منبع : news.asis.io
