در چند ماه گذشته تروجانی که بهعنوان راهنمای بازی مجبوب Pokémon Go تغییر ظاهر پیدا کردهبود ۵۰۰هزار بار از گوگلپلی دانلود شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، Roman Unuchek یکی از کارشناسان لابراتوار کسپرسکی که Ztorg را در اپلیکیشنهای گوگلپلی با عنوان اپلیکیشن راهنمای Pokémon Goکشف کردهبود، اپلیکیشنهای مخرب دیگری را که از این طریق توزیع شدهبودند، یافت. او متوجه شد که هر برنامه جدیدی که ظاهر میشود با لباس مبدل Ztorg است و شخص جدیدی پشت این ماجرا نیست.
این اپلیکیشن میتواند ویرایشگر عکس، قطبنما، بازی و یا هرچیزی باشد. مجرمان پشت این برنامه مخرب حتی تلاشی برای افزودن کدهای مخرب به اپلیکیشنهای مفید موجود نکردند. به جای این کار آنها برنامههای مخرب را از ابتدا نوشتند. درنتیجه، برخی از آنها کاملا بیفایده بودند.
همه این اپلیکیشنها دو چیز مشترک دارند. اول اینکه تعداد دانلود آنها بهسرعت افزایش پیدا میکند (10ها هزار نفر در روز)، دوم اینکه اگر شما به نظر کاربران در گوگلپلی نگاهکنید، اغلب کاربران برنامههایی دانلود کردهاند که پولی، اعتباری و یا چیزی شبیه اینها بودهاست.
تروجان Ztorg تغییر نمیکند. پس از نصب آن، این تروجان اطلاعات مربوط به سیستم و دستگاه را جمعآوری و آنها را به سرور command-and-control ارسال میکند. سرور به فایلهایی که بدافزار را برای بهدست آوردن دسترسی بوت به دستگاه قادر ساختهاست، واکنش نشان میدهد. پس از اینکه این کلاهبرداری انجامشد، آنها میتوانند هر کاری را که دوست داشتند انجام دهند، بهعنوان مثال، تبلیغات را نمایان کنند، تروجانهای دیگری را دانلود کنند و غیره.
حال Ztorg جزء تروجانهایی است که از طریق تبلیغات گسترش مییابد. شما بر روی یک بنر تبلیغاتی کلیک میکنید، اپلیکیشن را دانلود و نصب کرده سپس آلوده میشوید؛ به همین راحتی!
توسعهدهندگان Ztorg کاملا غیرعادلانه برخورد میکنند، آنها عملکردهای مخرب را پنهان میکنند، بهگونهای که کاربر در زمان مطالعه اپلیکیشن متوجه هیچ مورد مشکوکی نمیشوند.
بیشترین بنرهای حاوی بدافزار بهصورت مستقیم به صفحه دانلود اپلیکیشن لینک نمیشوند بلکه به صفحهای که تغییر مسیر دادهاست هدایت میکند و پس از آن هم به صفحه دیگر. اینقدر این کار ادامه پیدا میکند تا کاربر به لینک دانلود میرسد. این کار برای گیجشدن کاربر برنامهریزی شدهاست. علاوهبر این، اپلیکیشن میتواند دانلود فایلهای مخرب را از سرور C&C بیش از ۹۰ دقیقه به تاخیر بیندازد.
جای تعجب دارد که چرا فروشگاه رسمی گوگل پلی باید چنین برنامههای مخربی را در خود جای دهد. متاسفانه تروجانها در خفا کارهای خود را انجام میدهند. بههیچوجه نباید کورکورانه به اپلیکیشنها و البته فروشگاههای آنها اعتماد کنید.
برای اینکه مصون بمانید اپلیکیشنهای خود را تنها از توسعهدهندگان قابل اعتماد یا حتی از فروشگاههای کاملا رسمی دانلود کنید. البته در این هنگام هم احتمال دچار شدن به تروجانهای مختلف وجود دارد، اما در فروشگاههای رسمی احتمال آن ضعیفتر است. یک محافظ قابل اعتماد بر روی دستگاه خود نصب کنید؛ بهعنوان مثال، اینترنت سکیوریتی کسپرسکی برای اندروید مدت بسیار زیادی است که قادر به شناسایی و خنثی کردن Ztorg به هر شکل و فرمی است.