تحقیقات جدید نشان میدهد گروههای مجرم سایبری از سالها پیش با سوءاستفاده از گوگل پلی، بدافزارهای خود را به گوشیهای اندرویدی توزیع میکردهاند.
یک گروه امنیتی در گزارشی ادعا کرد که گوگل پلی ظاهرا از سالها پیش ابزار توزیع بدافزار گروههای مجرم سایبری بوده است. محققان میگویند مجرمان سایبری با سوءاستفاده از اعتماد کاربران به مارکت اپلیکیشن گوگل پلی، بدافزار حرفهای خود را بین کاربران اندرویدی توزیع میکردهاند. بدافزار مذکور با استفاده از یک در پشتی حرفهای، گسترهی وسیعی از دادههای حساس کاربران را به سرقت میبرد. گزارش جدید پیرامون توزیع بدافزار ازطریق گوگل پلی، توسط محققان شرکت امنیت سایبری Kaspersky Lab منتشر شد.
محققان کسپرسکی در گزارش خود ادعا کردهاند که حداقل هشت اپلیکیشن گوگل پلی که از سال ۲۰۱۸ در این مارکت منتشر شدهاند، حاوی بدافزار در پشتی بودهاند. البته سخنگوی گروه در مصاحبه با رسانههای فناوری میگوید که آنها با استفاده از جستوجوهای آرشیوی و روشهای دیگر، به نتایج نگرانکنندهتری هم دست یافتهاند. طبق گفتهی او، برخی از اپلیکیشنهای مخرب حداقل از سال ۲۰۱۶ در مارکت رسمی اپلیکیشن اندروید منتشر شدهاند.
گوگل پس از انتشار نتیجهی تحقیقات شرکت کسپرسکی، نسخههای اخیر بدافزار را از مارکت اپلیکیشن خود حذف کرد. قبلا، شرکت امنیت سایبری دیگری بهنام Dr. Web نیز تحقیقات مشابهی را منتشر کرده بود. بههرحال باوجود حذف بدافزار و اپلیکیشنهای مخرب از گوگل پلی، نسخههای متعددی از آنها در مارکتهای متفرقه وجود دارد. محققان میگویند هنوز بسیاری از اپلیکیشنهای مخرب از مارکتهای متفرقه دانلود میشوند و امنیت دستگاههای اندروید را تهدید میکنند.
دامنههای فرمان و کنترل (Command and Control) سوءاستفاده از روش اخیر برای نفوذ به دستگاههای اندروید، در ابتدای سال ۲۰۱۵ ثبت شدهاند. درنتیجه میتوان ادعا کرد که توزیع بدافزار از طریق گوگل پلی و نفوذ به دستگاهها از پیش از سال ۲۰۱۶ شروع شده باشد. کدی که در بدافزارها کشف شد و همچنین سرورهای C&C متصل به آنها، شباهت زیادی به روشهای نفوذ و سوءاستفادهی گروه هکری مشهوری بهنام OceanLotus دارد. این گروه بهنامهای APT32 و APT-C-00 و SeaLotus هم شناخته میشوند. درنتیجه محققان احتمال میدهند که بدافزارهای کشفشده هم حاصل کار همان گروه باشند.
مجرمان سایبری که در پشت صحنهی توزیع بدافزار ازطریق گوگل پلی فعال بودهاند، روشهای کارآمد و متنوعی را برای عبور از لایههای امنیتی وفرایندهای اعتبارسنجی گوگل بهکار گرفتهاند. فرایندهایی که با هدف دور نگه داشتن اپلیکیشنهای مخرب از گوگل پلی پیادهسازی میشوند. یکی از روشهای دور زدن ساختارهای امنیتی گوگل پلی به این صورت بوده است که مجرمان، نسخهای سالم از اپلیکیشت خود را برای گوگل ارسال کرده و پس از تأیید اولیه، کدهای مخرب را اضافه میکردهاند. در روشی دیگر، در جریان نصب اپلیکیشن هیچگونه مجوز دسترسی (یا تعداد بسیار کم) از کاربر درخواست میشود. پس از نصب، مجروها بهمرور و با استفاده از یک کد مخفیشده در یک فایل اجرایی، کسب میشوند. از جدیدترین اپلیکیشنهای کشفشده میتوان به نمونهای با ادعای پاکسازی مرورگر وب اشاره کرد.
اپلیکیشنهای مخرب پس از نصب روی گوشی قربانی، بهمرور یک در پشتی در آن ایجاد میکردهاند که دادههای مرتبط با گوشی آلوده همچون مدل سختافزار، نسخهی اندروید و اپلیکیشنهای نصبشده را برای سرورهای فرمان و کنترل ارسال میکرده است. مجرمان سایبری با استفاده از اطلاعات دریافتشده، کدهای مخرب مخصوص همان دستگاه آلوده را اجرا میکردهاند. کدهای مخرب جدید، اطلاعاتی همچون موقعیت مکانی، تاریخچهی تماسها، فهرست مخاطبان، پیامهای متنی و دیگر اطلاعات حساس را به سرور ارسال میکردند.
کدهای ثانویهای که روش گوشی قربانی اجرا میشدند، بهصورت کاملا حرفهای طراحی شده بودند و منجر به اختلال عملکرد دستگاه نمیشدند. درنتیجه در بسیاری از موارد، کاربر متوجه آلوده بودن دستگاه نمیشد و شناسایی بدافزار هم ممکن نبود. البته در برخی از نسخههای جدید نیز اپلیکیشنهای مخرب حاوی کد ثانویه بودند و نیازی به در پشتی ابتدایی نداشتند.
الکسی فِرش و لِو پیکمن، محققان امنیتی کسپرسکی در مقالهای پیرامون یافتهی جدید خود نوشتند:
نظریهی اصلی ما پیرامون دلیل پیادهسازی روش نسخهسازی متعدد توسط مجرمان سایبری این است که آنها قصد دور زدن فیلترهای امنیتی گوگل را به هر روش ممکن داشتهاند. آنها در رسیدن به اهداف خود موفق بودند و نسخههای جدید از بدافزار حتی در نسخهی سال ۲۰۱۹ گوگل پلی هم دیده شدند.
مدیران گوگل هیچ پاسخ یا توضیحی پیرامون چگونگی مقابله با روشهای مشابه در آینده ارائه ندادند. آنها همچنین نگفتند که آیا درحالحاضر روشی برای جلوگیری از سوءاستفادههای مشابه پیاده کردهاند یا خیر. در عوض، بیانیهای از سوی گوگل منتشر شد که در بخشی از آن میخوانیم: «ما همیشه تلاش میکنیم تا ظرفیتهای شناسایی بدافزار خود را افزایش دهیم. ما از فعالیت محققان قدردانی میکنیم و اشتراکگذاری یافتهها را ارج مینهیم. از زمان دریافت گزارشها، اقدامهای مقتضی برای مقابله با اپلیکیشنهای کشفشده، انجام شده است».
اکثر اپلیکیشنهای مخربی که در تحقیقات اخیر شناسایی شدند، برای پیادهسازی اهداف خود نیاز به نصب روی دستگاه روت شده داشتند. درواقع، اپلیکیشنها برای اجرای بدون اشکال باید روی دستگاهی اجرا میشدند که آسیبپذیریهای روت را داشت. درنتیجه مجرمان توانایی سوءاستفاده از حفرههایی را داشتند که برای گوگل و عموم کاربران، شناختهشده نبود. محققان هیچگونه افزایش سطح دسترسی محلی را در اپلیکیشنهای مخرب شناسایی نکردند، اما احتمال سوءاستفاده از چنین حملههایی را نیز دور از ذهن نمیدانند. در بخشی از توضیحات یکی از محققان پیرامون روش توزیع بدافزار ازطریق گوگل پلی میخوانیم:
بدافزار توانایی دانلود و اجرای کدهای مخرب اضافه را از سرورهای C2 (همان C&C) دارد. درنتیجه میتوان چنین سناریویی را متصور شد: مجرمان ابتدا اطلاعاتی همچون نسخهی سیستمعامل، فهریت اپلیکیشنهای نصبشده و موارد دیگر را دریافت میکنند. آنها سپس براساس همین اطلاعات اولیه، ارزشمند بودن نفوذ به دستگاه قربانی را بررسی میکنند. در مرحلهی بعدی، کد و حملهی مخرب مناسب دستگاه مذکور اجرا میشود که میتواند از نوع افزایش سطح دسترسی محلی (LPE) هم باشد. ما نتوانستیم هیچ نمونهای از این کدهای مخرب را شناسایی کنیم؛ همانطور که گفتم، مجرمان مهارت زیادی در حملههای OPSEC دارند و نمیتوان بهراحتی کدهای مخرب ثانویهی آنها را شناسایی کرد.
یکی از توضیحات تکمیلی پیرامون روشهای نفوذ نشان میدهد که با ساختاری بسیار پیچیده روبهرو هستیم. در برخی از موارد، وقتی دسترسیهای روت در گوشی قربانی وجود داشتهاند، بدافزار با رابط برنامهنویسی نامعتبری بهنام setUidMode ارتباط برقرار میکرده و بدون دخالت کاربر، مجوزهای لازم را دریافت میکرده است.
محققان کسپرسکی، اپلیکیشنهای زیر را بهعنوان ابزارهای مخرب توزیع بدافزار ازطریق گوگل پلی اعلام کردند:
نام پکیج | آخرین تاریخ مشاهده در گوگل پلی |
---|---|
com.zimice.browserturbo | ۲۰۱۹/۱۱/۰۶ |
com.physlane.opengl | ۲۰۱۹/۰۷/۱۰ |
com.unianin.adsskipper | ۲۰۱۸/۱۲/۲۶ |
com.codedexon.prayerbook | ۲۰۱۸/۰۸/۲۰ |
com.luxury.BeerAddress | ۲۰۱۸/۰۸/۲۰ |
com.luxury.BiFinBall | ۲۰۱۸/۰۸/۲۰ |
com.zonjob.browsercleaner | ۲۰۱۸/۰۸/۲۰ |
com.linevialab.ffont | ۲۰۱۸/۰۸/۲۰ |
محققان کسپرسکی، حملهی کشفشده را در گزارش خود بهنام PhantomLance معرفی کردهاند. همانطور که گفته شد، شباهتها این تصور را ایجاد میکند که حملههای چند سال گذشته، نتیجهی فعالیت گروه OceanLotus بودهاند. محققان میگویند این گروه اغلب دولتهای آسیایی، مخالفان و روزرنامهنگاران را با تمرکزی عمیق روی اهداف مخالف ویتنام انجام میدهند. نام اپلیکیشنها و دیگر بخشهای مرتبط در کدها بهزبان ویتنامی نوشته شدهاند.
گزارش اخیر پیرامون توزیع بدافزار ازطریق گوگل پلی، اولین حملهی مجرمان با بهرهگیری از منابع مالی وسیع حکومتی نیست. محققان امنیتی در ابتدای سال جاری اپلیکیشنهایی را در گوگل پلی کشف کردند که توسط SideWinder توسعه یافته بود. این گروه از سال ۲۰۱۲ با هدفگیری مراکز نظامی فعالیت میکند. در گزارشی دیگر در سال ۲۰۱۹، ادعا شد که دولت مصر با سوءاستفاده از گوگل پلی، شهرندان خود را هدف قرار میدهد.
باوجود خطرناک بودن یافتههای امنیتی اخیر، احتمال کمی وجود دارد که دستهبندی بزرگی از گروههای کاربری هدف قرار گرفته باشند. بههرحال اگر نگران آلوده شدن دستگاه خود هستید، بررسی فهرست بالا و فهرست منتشرشده در این لینک میتواند به شناسایی اپلیکیشن مخرب احتمالی در گوشی اندرویدی کمک کند. درنهایت فراموش نکنید که بدافزارها بیش از همه گوشیهای روت شده را هدف قرار میدهند.
پاسخ ها