محققان امنیت سایبری یک بدافزار جدید را کشف کرده‌اند که در ۹ برنامه اندرویدی توزیع شده از طریق فروشگاه Google Play وجود دارد و از یک بدافزار دیگر برای دسترسی سریع به حساب‌های مالی قربانیان و همچنین کنترل کامل دستگاه‌های آنها استفاده می‌کند.

برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: google-play-store-malware.jpg
مشاهده: 17
حجم: 34.6 کیلو بایت

محققان Check Point هازوم، ملنیکوف و ورنیک در مقاله‌ای که امروز منتشر شد گفتند: این نرم‌افزار که Clast82 لقب گرفته است از مجموعه‌ای از تکنیک‌ها برای جلوگیری از شناسایی توسط Google Protect Detect استفاده می‌کند، دوره ارزیابی را با موفقیت به پایان می‌رساند و Payload غیرمخرب را به AlienBot Banker و MRAT تغییر می‌دهد.

برنامه‌هایی که برای این کمپین استفاده شده‌اند شامل: Cake VPN ،Pacific VPN ،eVPN ،BeatPlayer ،QR/Barcode Scanner MAX ،Music Player ،tooltipnatorlibrary و QRecorder هستند. پس از گزارش یافته‌ها در تاریخ ۲۸ ژانویه به گوگل، این برنامه‌های مخرب در تاریخ ۹ فوریه از Google Play حذف شدند.

نویسندگان بدافزار برای دور زدن مکانیسم‌های تأیید فروشگاه‌های app به روش‌های مختلفی متوسل شده‌اند، مانند: ایجاد نسخه‌های تقلبی برنامه‌های قانونی یا ساختن Reviewهای جعلی برای جلب کاربران برای دانلود برنامه‌ها.

روش‌های دیگری مانند انتشار نسخه‌های متفاوت، که شامل بارگذاری یک نسخه سالم و کاربردی از برنامه در Play Store برای ایجاد اعتماد در بین کاربران و سپس در مرحله بعد اضافه کردن کدهای مخرب از طریق بروزرسانی برنامه می‌شود، به همان اندازه محبوب هستند.

برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: vpn-app.jpg
مشاهده: 10
حجم: 53.1 کیلو بایت

Clast82 از Firebase به عنوان بستری برای ارتباطات command-and-control(C2) استفاده می‌کند و علاوه بر استفاده از برنامه‌های اندروید Open Source مجاز و شناخته شده برای قرار دادن قابلیت Dropper، از GitHub برای بارگیری Payloadهای مخرب استفاده می‌کند.

برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: hacking-android.jpg
مشاهده: 11
حجم: 28.9 کیلو بایت

محققان خاطرنشان كردند: مهاجم برای هر برنامه یك كاربر توسعه دهنده جدید برای فروشگاه Google Play همراه با یک حساب GitHub ایجاد کرده است.

به عنوان مثال: مشخص شد که برنامه مخرب Cake VPN مبتنی بر یک نسخه منبع‌باز با همان نام است که توسط یک توسعه دهنده بنام Syed Ashraf Ullah ایجاد شده است. اما هنگامی که برنامه راه‌اندازی شد، از دیتابیس Firebase real-time برای بازیابی مسیر بارگذاری از GitHub استفاده می‌کند، سپس بر روی دستگاه مورد نظر نصب می‌شود.

در صورت خاموش بودن گزینه “نصب برنامه‌ها از منابع ناشناخته” Clast82 به طور مکرر هر پنج ثانیه با درخواست جعلی “Google Play Services” از کاربر می‌خواهد تا این مجوز را فعال کند، در نهایت با استفاده از آن برای نصب AlienBot قادر به سرقت اعتبار و کدهای احراز هویت دو عاملی از برنامه‌های مالی است.

برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: malware-apps.jpg
مشاهده: 11
حجم: 34.1 کیلو بایت

هازوم گفت: هكر پشت Clast82 با استفاده از یك روش خلاقانه اما نگران كننده توانست از Google Play Protect عبور كند. با یک دستکاری ساده در منابع ۳rd party که به راحتی در دسترس هستند، مانند حساب GitHub یا حساب FireBase، هکر توانست از منابع موجود به راحتی استفاده کند تا از Google Play Protect عبور کند. قربانیان فکر می‌کردند که یک برنامه کمکی بی‌ضرر را از این برنامه بارگیری می‌کنند اما آنچه که دانلود می‌شود یک تروجان خطرناک بانکی است.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

55
55 امتیاز

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

واکنش شما به این مطلب چیست ؟

جالب جالب
1
جالب
خنده‌دار خنده‌دار
6
خنده‌دار
انزجار انزجار
4
انزجار
عجیب عجیب
4
عجیب
ناراحت ناراحت
3
ناراحت
بد بد
2
بد
باحال باحال
0
باحال
خوب خوب
7
خوب
ترسناک ترسناک
5
ترسناک