گوگل پلی از سال‌ها پیش ابزار توزیع بدافزار یک گروه مجرم سایبری بوده است

جمعه ۱۲ اردیبهشت ۱۳۹۹ - ۱۴:۳۰
مطالعه 6 دقیقه
تحقیقات جدید نشان می‌دهد گروه‌های مجرم سایبری از سال‌ها پیش با سوءاستفاده از گوگل پلی، بدافزارهای خود را به گوشی‌های اندرویدی توزیع می‌کرده‌اند.
تبلیغات

یک گروه امنیتی در گزارشی ادعا کرد که گوگل پلی ظاهرا از سال‌ها پیش ابزار توزیع بدافزار گروه‌های مجرم سایبری بوده است. محققان می‌گویند مجرمان سایبری با سوءاستفاده از اعتماد کاربران به مارکت اپلیکیشن گوگل پلی، بدافزار حرفه‌ای خود را بین کاربران اندرویدی توزیع می‌کرده‌اند. بدافزار مذکور با استفاده از یک در پشتی حرفه‌ای، گستره‌ی وسیعی از داده‌های حساس کاربران را به سرقت می‌برد. گزارش جدید پیرامون توزیع بدافزار ازطریق گوگل پلی، توسط محققان شرکت امنیت سایبری Kaspersky Lab منتشر شد.

محققان کسپرسکی در گزارش خود ادعا کرده‌اند که حداقل هشت اپلیکیشن گوگل پلی که از سال ۲۰۱۸ در این مارکت منتشر شده‌اند، حاوی بدافزار در پشتی بوده‌اند. البته سخنگوی گروه در مصاحبه با رسانه‌های فناوری می‌گوید که آن‌ها با استفاده از جست‌وجوهای آرشیوی و روش‌های دیگر، به نتایج نگران‌کنند‌ه‌تری هم دست یافته‌اند. طبق گفته‌ی او، برخی از اپلیکیشن‌های مخرب حداقل از سال ۲۰۱۶ در مارکت رسمی اپلیکیشن اندروید منتشر ‌شده‌اند.

گوگل پس از انتشار نتیجه‌ی تحقیقات شرکت کسپرسکی، نسخه‌های اخیر بدافزار را از مارکت اپلیکیشن خود حذف کرد. قبلا، شرکت امنیت سایبری دیگری به‌نام Dr. Web نیز تحقیقات مشابهی را منتشر کرده بود. به‌هرحال باوجود حذف بدافزار و اپلیکیشن‌های مخرب از گوگل پلی، نسخه‌های متعددی از آن‌ها در مارکت‌های متفرقه وجود دارد. محققان می‌گویند هنوز بسیاری از اپلیکیشن‌های مخرب از مارکت‌های متفرقه دانلود می‌شوند و امنیت دستگاه‌های اندروید را تهدید می‌کنند.

بدافزار اندروید xHelper

دامنه‌های فرمان و کنترل (Command and Control) سوءاستفاده از روش اخیر برای نفوذ به دستگاه‌های اندروید، در ابتدای سال ۲۰۱۵ ثبت شده‌اند. درنتیجه می‌‌توان ادعا کرد که توزیع بدافزار از طریق گوگل پلی و نفوذ به دستگاه‌ها از پیش از سال ۲۰۱۶ شروع شده باشد. کدی که در بدافزارها کشف شد و همچنین سرورهای C&C متصل به آن‌ها، شباهت زیادی به روش‌های نفوذ و سوءاستفاده‌ی گروه هکری مشهوری به‌نام OceanLotus دارد. این گروه به‌نام‌های APT32 و APT-C-00 و SeaLotus هم شناخته می‌شوند. درنتیجه محققان احتمال می‌دهند که بدافزارهای کشف‌شده هم حاصل کار همان گروه باشند.

عبور چندباره از لایه‌های امنیتی گوگل

مجرمان سایبری که در پشت صحنه‌ی توزیع بدافزار ازطریق گوگل پلی فعال بوده‌اند، روش‌های کارآمد و متنوعی را برای عبور از لایه‌های امنیتی وفرایندهای اعتبارسنجی گوگل به‌کار گرفته‌اند. فرایندهایی که با هدف دور نگه داشتن اپلیکیشن‌های مخرب از گوگل پلی پیاده‌سازی می‌شوند. یکی از روش‌های دور زدن ساختارهای امنیتی گوگل پلی به این صورت بوده است که مجرمان، نسخه‌ای سالم از اپلیکیشت خود را برای گوگل ارسال کرده و پس از تأیید اولیه، کدهای مخرب را اضافه می‌کرده‌اند. در روشی دیگر، در جریان نصب اپلیکیشن هیچ‌گونه مجوز دسترسی (یا تعداد بسیار کم) از کاربر درخواست می‌شود. پس از نصب، مجروها به‌مرور و با استفاده از یک کد مخفی‌شده در یک فایل اجرایی، کسب می‌شوند. از جدیدترین اپلیکیشن‌های کشف‌شده می‌توان به نمونه‌ای با ادعای پاک‌سازی مرورگر وب اشاره کرد.

مجرمان سایبری با ترکیبی از روش‌های نفوذ، لایه‌های امنیتی گوگل پلی را دور می‌زده‌اند

اپلیکیشن‌های مخرب پس از نصب روی گوشی قربانی، به‌مرور یک در پشتی در آن ایجاد می‌کرده‌اند که داده‌های مرتبط با گوشی آلوده همچون مدل سخت‌افزار، نسخه‌ی اندروید و اپلیکیشن‌های نصب‌شده را برای سرورهای فرمان و کنترل ارسال می‌کرده است. مجرمان سایبری با استفاده از اطلاعات دریافت‌شده، کدهای مخرب مخصوص همان دستگاه آلوده را اجرا می‌کرده‌اند. کدهای مخرب جدید، اطلاعاتی همچون موقعیت مکانی، تاریخچه‌ی تماس‌ها، فهرست مخاطبان، پیام‌های متنی و دیگر اطلاعات حساس را به سرور ارسال می‌کردند.

کدهای ثانویه‌ای که روش گوشی قربانی اجرا می‌شدند، به‌صورت کاملا حرفه‌ای طراحی شده بودند و منجر به اختلال عملکرد دستگاه نمی‌شدند. درنتیجه در بسیاری از موارد، کاربر متوجه آلوده بودن دستگاه نمی‌شد و شناسایی بدافزار هم ممکن نبود. البته در برخی از نسخه‌های جدید نیز اپلیکیشن‌های مخرب حاوی کد ثانویه بودند و نیازی به در پشتی ابتدایی نداشتند.

بدافزار اندروید xHelper

الکسی فِرش و لِو پیکمن، محققان امنیتی کسپرسکی در مقاله‌ای پیرامون یافته‌ی جدید خود نوشتند:

نظریه‌ی اصلی ما پیرامون دلیل پیاده‌سازی روش نسخه‌‌سازی متعدد توسط مجرمان سایبری این است که آن‌ها قصد دور زدن فیلترهای امنیتی گوگل را به هر روش ممکن داشته‌اند. آن‌ها در رسیدن به اهداف خود موفق بودند و نسخه‌های جدید از بدافزار حتی در نسخه‌ی سال ۲۰۱۹ گوگل پلی هم دیده شدند.

مدیران گوگل هیچ‌ پاسخ یا توضیحی پیرامون چگونگی مقابله با روش‌های مشابه در آینده ارائه ندادند. آن‌ها همچنین نگفتند که آیا درحال‌حاضر روشی برای جلوگیری از سوءاستفاده‌های مشابه پیاده کرده‌اند یا خیر. در عوض، بیانیه‌ای از سوی گوگل منتشر شد که در بخشی از آن می‌خوانیم: «ما همیشه تلاش می‌کنیم تا ظرفیت‌های شناسایی بدافزار خود را افزایش دهیم. ما از فعالیت محققان قدردانی می‌کنیم و اشتراک‌گذاری یافته‌ها را ارج می‌نهیم. از زمان دریافت گزارش‌ها، اقدام‌های مقتضی برای مقابله با اپلیکیشن‌های کشف‌شده، انجام شده است».

اکثر اپلیکیشن‌های مخربی که در تحقیقات اخیر شناسایی شدند، برای پیاده‌سازی اهداف خود نیاز به نصب روی دستگاه روت شده داشتند. درواقع، اپلیکیشن‌ها برای اجرای بدون اشکال باید روی دستگاهی اجرا می‌شدند که آسیب‌پذیری‌های روت را داشت. درنتیجه مجرمان توانایی سوءاستفاده از حفره‌هایی را داشتند که برای گوگل و عموم کاربران، شناخته‌شده نبود. محققان هیچ‌گونه افزایش سطح دسترسی محلی را در اپلیکیشن‌های مخرب شناسایی نکردند، اما احتمال سوءاستفاده از چنین حمله‌هایی را نیز دور از ذهن نمی‌دانند. در بخشی از توضیحات یکی از محققان پیرامون روش توزیع بدافزار ازطریق گوگل پلی می‌خوانیم:

بدافزار توانایی دانلود و اجرای کدهای مخرب اضافه را از سرورهای C2 (همان C&C) دارد. درنتیجه می‌توان چنین سناریویی را متصور شد: مجرمان ابتدا اطلاعاتی همچون نسخه‌ی سیستم‌عامل، فهریت اپلیکیشن‌‌های نصب‌شده و موارد دیگر را دریافت می‌‌کنند. آن‌ها سپس براساس همین اطلاعات اولیه، ارزشمند بودن نفوذ به دستگاه قربانی را بررسی می‌کنند. در مرحله‌ی بعدی، کد و حمله‌ی مخرب مناسب دستگاه مذکور اجرا می‌شود که می‌تواند از نوع افزایش سطح دسترسی محلی (LPE) هم باشد. ما نتوانستیم هیچ نمونه‌ای از این کدهای مخرب را شناسایی کنیم؛ همان‌طور که گفتم، مجرمان مهارت زیادی در حمله‌های OPSEC دارند و نمی‌توان به‌راحتی کدهای مخرب ثانویه‌ی آن‌ها را شناسایی کرد.
اندروید / Android

یکی از توضیحات تکمیلی پیرامون روش‌های نفوذ نشان می‌دهد که با ساختاری بسیار پیچیده روبه‌رو هستیم. در برخی از موارد، وقتی دسترسی‌های روت در گوشی قربانی وجود داشته‌اند، بدافزار با رابط برنامه‌نویسی نامعتبری به‌نام setUidMode ارتباط برقرار می‌کرده و بدون دخالت کاربر، مجوزهای لازم را دریافت می‌کرده است.

محققان کسپرسکی، اپلیکیشن‌های زیر را به‌عنوان ابزارهای مخرب توزیع بدافزار ازطریق گوگل پلی اعلام کردند:

نام پکیج

آخرین تاریخ مشاهده در گوگل پلی

com.zimice.browserturbo

۲۰۱۹/۱۱/۰۶

com.physlane.opengl

۲۰۱۹/۰۷/۱۰

com.unianin.adsskipper

۲۰۱۸/۱۲/۲۶

com.codedexon.prayerbook

۲۰۱۸/۰۸/۲۰

com.luxury.BeerAddress

۲۰۱۸/۰۸/۲۰

com.luxury.BiFinBall

۲۰۱۸/۰۸/۲۰

com.zonjob.browsercleaner

۲۰۱۸/۰۸/۲۰

com.linevialab.ffont

۲۰۱۸/۰۸/۲۰

محققان کسپرسکی، حمله‌ی کشف‌شده را در گزارش خود به‌نام PhantomLance معرفی کرده‌اند. همان‌طور که گفته شد، شباهت‌ها این تصور را ایجاد می‌کند که حمله‌های چند سال گذشته، نتیجه‌ی فعالیت گروه OceanLotus بوده‌اند. محققان می‌گویند این گروه اغلب دولت‌های آسیایی، مخالفان و روزرنامه‌نگاران را با تمرکزی عمیق روی اهداف مخالف ویتنام انجام می‌دهند. نام اپلیکیشن‌‌ها و دیگر بخش‌های مرتبط در کدها به‌زبان ویتنامی نوشته شده‌اند.

گزارش اخیر پیرامون توزیع بدافزار ازطریق گوگل پلی، اولین حمله‌ی مجرمان با بهره‌گیری از منابع مالی وسیع حکومتی نیست. محققان امنیتی در ابتدای سال جاری اپلیکیشن‌هایی را در گوگل پلی کشف کردند که توسط SideWinder توسعه یافته بود. این گروه از سال ۲۰۱۲ با هدف‌گیری مراکز نظامی فعالیت می‌کند. در گزارشی دیگر در سال ۲۰۱۹، ادعا شد که دولت مصر با سوءاستفاده از گوگل پلی،‌ شهرندان خود را هدف قرار می‌دهد.

باوجود خطرناک بودن یافته‌های امنیتی اخیر، احتمال کمی وجود دارد که دسته‌بندی بزرگی از گروه‌های کاربری هدف قرار گرفته باشند. به‌هرحال اگر نگران آلوده شدن دستگاه خود هستید، بررسی فهرست بالا و فهرست منتشرشده در این لینک می‌تواند به شناسایی اپلیکیشن مخرب احتمالی در گوشی اندرویدی کمک کند. درنهایت فراموش نکنید که بدافزارها بیش از همه گوشی‌های روت شده را هدف قرار می‌دهند.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات