کمیته رکن چهارم – برنامههای مخرب روی فروشگاه گوگل پلی با عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند
دو سال گذشته در ماه اکتبر ۲۰۱۵ ما مقالهای در مورد یک بدافزار محبوب منتشر ساختیم که در فروشگاه گوگل پلی توزیع شده بود. ما طی دو سالی که پشت سر گذاشتیم مجددا مشابه این بدافزار را در فروشگاه گوگل پلی شناسایی کردیم اما در اکتبر و نوامبر سال ۲۰۱۷، ۸۵ برنامه مخرب در گوگل پلی شناسایی کردیم که توانسته بودند اعتبار نامهها را از اپلیکیشن VK.com به سرقت ببرند.
تمامی برنامههای مخرب توسط راهکارهای امن لابراتوار کسپرسکی به عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند. ما ۷۲ گونه از آن ها را به گوگل گزارش دادیم و این برنامههای مخرب از گوگل پلی حذف گردیدند و ۱۳ برنامه ی دیگر نیز قبل از آن حذف شده بودند. علاوه بر این، ما این سرقت را با جزئیات فنی به VK.comگزارش دادیم. یکی از برنامهها در گوگل پلی در پشت یک برنامه ی بازی پنهان شده بود و بیش از یک میلیون بار از فروشگاه گوگل دانلود شده بود.
برخی از اپلیکیشن های محبوب دیگر بین برنامههای مخرب وجود داشت که هفت برنامه از بین آن ها ۱۰٫۰۰۰ تا ۱۰۰٫۰۰۰ بار و نه برنامه بین ۱۰۰۰ تا ۱۰٫۰۰۰بار از گوگل پلی دانلود و توسط کاربران نصب شده بود. برنامههای دیگر کمتر از ۱۰۰۰ بار توسط کاربران دانلود و نصب شده بودند.
برنامههای مخرب روی فروشگاه گوگل پلی با عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند.
اکثر این برنامهها در اکتبر سال ۲۰۱۷ در گوگل پلی آپلود شدند قابل ذکر است که چندین برنامه ی دیگر از بین آنها در ماه های قبل یعنی ژوئیه در این فروشگاه آپلود شده بودند، یعنی توزیع برخی از آنها در سه ماه قبل انجام شده بود. نکته قابل توجه اینجا است که محبوب ترین برنامهها در ابتدای ماه مارس ۲۰۱۷ به فروشگاه گوگل پلی اضافه و در آن جا آپلود شدند، در آن زمان هیچ کد مخربی بر روی این برنامهها وجود نداشت و فقط بازی بودند. مجرمان سایبری در ماه اکتبر برنامه های آپلود شده را با نسخههای مخرب به روز کردند و ۷ ماه برای نتیجه دادن این عمل مخربانه انتظار کشیدند!
تمامی برنامههای مخرب همانند اپلیکیشن VK.com به نظر می آمدند، این برنامهها برای گوش دادن به موسیقی یا نظارت بر بازبینی صفحات کاربر مورد توجه کاربران قرار گرفتند.
بیشک چنین برنامههایی به یک کاربر برای ورود به حساب کاربری نیاز دارند، به همین دلیل است که به نظر کاربران مشکوک نمیآیند. تنها برنامههایی که قابلیتهای برنامه ی VK- را نداشتند، برنامههای واقعی و بی خطر بودند. زیرا VK در اکثر کشورهای غربی محبوب است مجرمان سایبری این محبوبیت را بی جواب نگذاشته اند و از اعتبارنامههای VK تنها برای کاربرانی با زبان های خاص روسی، اوکراینی، قزاق، ارمنی، آذربایجان، بلاروس، قرقیزستان، رومانیایی، تاجیک و ازبک استفاده کرده بودند.
بیش از دوسال بود که مجرمان سایبری برنامه های مخرب خود را در گوگل پلی منتشر ساخته بودند بنابراین آن ها مجبور به تغییر کد های مخرب برای جلوگیری از شناسایی شدند.
این اپلیکیشنها از یک VK SDK تغییر داده شده توسط کدهای فریب دهنده استفاده می کنند که کاربران می توانند به پیج استاندارد خود لاگین کنند اما مجرمان سایبری با استفاده از کدهای مخرب JS اعتبارنامه را از بخش لاگین پیج میگیرند و آنها را به برنامه دیگری منتقل می کنند.
پس از آن اعتبارنامه ها رمزنگاری و در وب سایتهای آلوده آپلود میشوند.
نکته جالبی که وجود دارد این است که اگر چه بسیاری از این برنامههای مخرب دارای ویژگیهای توصیف شده ای بودند اما برخی از آنها تفاوت هایی نیز داشتند. آن ها همچنین از کدهای OnPageFinished استفاده کردند که نه تنها برای استخراج اعتبار بلکه برای آپلود آنها هم مورد استفاده قرار گرفتند.
تصور کلی ما در مورد این فریب این است که مجرمان بیشتر از سرقت اعتبار نامه ها در VK.com استفاده میکنند. آنها به طور مخفیانه کاربران را به گروه های مختلف برای ترویج محبوبیت خود اضافه میکنند و از این راه در میان کاربران دیگر شهرت زیادی بدست می آوردند. ما این موضوع را از شکایات کاربران در مورد اینکه حسابهای آنها به چنین گروههایی اضافه شده است، دریافتهایم.
دلیل دیگر برای فکر کردن به این موضوع این است که ما چندین برنامه را در گوگل پلی یافتیم که توسط همان مجرمان سایبری با عنوان Trojan-PSW.AndroidOS.MyVk.o منتشر شده بود. مجرمان توانسته بودند یک برنامه ی غیر رسمی تگرام را برای کاربران که برنامه ی محبوب پیام رسان در میان کاربران بود را منتشر سازند. همگی آن ها توسط راهکارهای کسپرسکی به عنوان یک ویروس با نام HEUR:RiskTool.AndroidOS.Hcatam.a شناسایی شدند. ما در مورد این برنامهها نیز به گوگل متذکر شدیم و آن ها را از فروشگاه گوگل پلی حذف نمودیم.
این برنامهها نه تنها به شکل اپلیکشنهای تلگرام تغییر ظاهر داده بودند بلکه با استفاده از منبع باز Telegram SDK ایجاد شده بودند و تقریبا مانند هر برنامه دیگری کار می کردند. فرق آنها با تلگرام واقعی در این بود که کاربران برای ارتقاء گروه ها و چتها به این اپلیکیشنها افزوده میشدند. این برنامهها لیستی با گروهها یا چت ها را از سرور خود دریافت می کردند. علاوه بر این مجرمان قادرند کاربران را به گروه ها در هر زمان که مایل باشند، اضافه میکنند. برای این کار آن ها یک GCM token که به مجرمان اجازه میدهد تا دستورات ۲۴/۷ را ارسال کنند را به سرقت میبرند.
مورد دیگری که ما در تحقیقات خود کشف کردیم در مورد آلودگی وب سایت extensionsapiversion.space. است. با توجه به آمار KSN کسپرسکی در برخی موارد مجرمان با استفاده از API برای http://coinhive.com به ماینینگ کریپتوکارنسیها پرداختهاند.
منبع : ایتنا