هشدار محققان درباره

بازگشت برنامه‌های مخرب به گوگل پلی تنها با تغییر نام

محققان امنیتی گزارش داده‌اند که برنامه‌های مخرب اندرویدی که آنها قبلا شناسایی کرد‌ه و به گوگل گزارش داده‌اند، پس از تغییر نام خود به فروشگاه گوگل پلی بازگشته‌اند.
۲۱ اردیبهشت ۱۳۹۷

شرکت سیمانتک در گزارشی که منتشر کرده است می‌گوید هفت مورد از برنامه‌های مخرب اندرویدی که پیش‌تر شناسایی و به گوگل گزارش شده‌اند را مجددا در فروشگاه برنامه‌های این شرکت شناسایی کرده‌اند. کارشناسان این شرکت می‌گویند که نویسنده برنامه‌های مخرب اصلی هیچ کار خاصی انجام نداده است. بدون هیچ تغییری در کد برنامه و تنها با تغییر نام برنامه، آن را دوباره با یک حساب کاربری و اسم جدید در گوگل پلی منتشر کرده است.

سیمانتک گفته است که هفت نمونه از برنامه‌هایی که مجددا بارگذاری شده‌اند را در فروشگاه گوگل  شناسایی کرده است که به تیم امنیتی گوگل گزارش داده و دوباره آنها را از حذف کنند.

این برنامه‌ها در ظاهر به شکل قایلیت‌ شکلک‌های صفحه کلید، پاک کننده فضا حافظه، ماشین حساب، قفل کننده برنامه و ضبط تماس خود را معرفی می‌کنند . لیستی از این هفت برنامه مخرب در تصویر زیر موجود است.

محققان امنیتی که این برنامه‌ها را تجزیه و تحلیل کرده‌اند، گفتند هیچ کدام از موارد بررسی شده فعالیتی که ادعا می‌کردند را انجام نمی‌دادند و فقط تلاش می‌کردند کاربران را فریب دهند و از آن‌ها اجازه دسترسی به تنظیمات ادمین را بگیرند. این برنامه‌ها از طریق سرویس‌های گوگل تبلیغات موبایلی پخش می‌کنند یا از طریق مرورگر موبایل، کاربران را به سایت‌های کلاهبرداری را هدایت می‌کنند.

این نکته که تولید کنندگان برنامه‌های مخرب می‌توانند از طریق تغییر نام فایل‌ها و حساب‌های خود از سد محافظتی فروشگاه گوگل پلی بگذرند، مایه تاسف است.

 

دومین مجموعه برنامه‌های مخرب شناسایی شدند.

اما علاوه بر این هفت برنامه که دوباره به فروشگاه گوگل پلی بازگشتند، همان گروه سیمانتک ۳۸ برنامه مخرب دیگر را نیز کشف کرده است که در فروشگاه رسمی گوگل منتشر شده‌اند. کارشناسان می‌گویند این برنامه‌های مخرب در پس‌زمینه تلفن URL‌ وبلاگ‌های مختلفی را بارگیری می‌کردند.

به گفته محققان URLهای بارگیری شده متعلق به وبلاگ‌هایی بودند که احتمالا برای افزایش ترافیک بازدید آن‌ها توسط این برنامه‌ها مورد استفاده قرار است.

به گفته این شرکت، اکثر کاربرانی که این برنامه‌ها را دانلود کرده‌اند در ایالات متحده، بریتانیا، آفریقای جنوبی، هند، ژاپن، مصر، آلمان، هلند و سوئد زندگی می‌کنند. حضور برنامه‌ها در فروشگاه گوگل پلی، نام و توضیحات ظاهرا قانونی این برنامه‌ها باعث شد که کاربران، آن‌ها را حداقل در ده هزار دستگاه دانلود کنند.

سیمانتک می‌گوید که با گوگل تماس برقرار کرده و گوگل این مجموعه دوم از برنامه‌ها را نیز از فروشگاه خود حذف کرده است. این شرکت می‌گوید که هر دو کمپین‌های مخرب را تحت تعریف Android.Reputation.1 قرار می‌دهد. لیست این ۳۷ برنامه مخرب در تصویر زیر موجود است.


دیگر بدافزارهای تبلیغاتی اندرویدی

علاوه بر این، محقق امنیتی ESET موبایل، لوکاس استفانکو، ۱۵ برنامه مخرب دیگر را که در فروشگاه گوگل پلی وجود داشتند، شناسایی کرده است.
این متخصص در حساب توییتری خود  نوشته است: ۱۵ برنامه که در مجموع بیش از چهارصد هزار بار دانلود و نصب شده‌اند در گوگل پلی شناسایی کرده است. این برنامه‌ها می‌توانند ترافیک اضافی دانلود کنند و تبلیغات نامرئی نمایش دهند. به‌گونه‌ای که همه چیز از دید کاربر مخفی باشد.

همچنین این هفته شرکت Sophos نیز اطلاعاتی در مورد کمپین تبلیغاتی گوریلا (Guerilla Android adware) در اندروید منتشر کرد. کمپینی که بازیگران اصلی آن، برنامه‌های مخرب تحت عناوین منتسب به برنامه‌های ویرایشگر تصاویر هستند. اسامی این برنامه‌ها در تصویر زیر موجود است.

 

 

توضیحات بیشتر:

- Malicious Apps Persistently Appearing on Google Play and Using Google Icons
- Hidden App Malware Found on Google Play
- Lukas Stefanko
- Watch out: photo editor apps hiding malware on Google Play