بیش از هزار برنامه جاسوسافزاری در فروشگاههای برنامههای اندروید کشف شدهاست.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
بیش از هزار برنامه جاسوسافزاری در فروشگاههای برنامههای اندروید کشف شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، درصورتیکه فکر میکنید اگر برنامهها را از فروشگاه گوگلپلی بارگیری کنید در امنیت خواهیدبود سخت در اشتباه هستید! شخصی موفق شدهاست فروشگاههای برنامههای شخص ثالث و فروشگاه گوگلپلی را با بیش از هزار برنامه مخرب آلوده کند که میتواند تقریبا بر هر چیزی که کاربر بر روی دستگاه تلفن همراه خود انجام میدهد از طریق مکالمات تلفنی ضبط شده بدون تعامل با کاربر نظارت کند.
بدافزار SonicSpy جاسوسافزاری است که از ماه فوریه بهشدت در سراسر فروشگاههای برنامه اندروید پخش شدهاست و به یک برنامه پیامرسانی تظاهر میکند و در واقع یک سرویس پیامرسانی را ارائه میدهد.
انجام عملیات مخرب توسط جاسوسافزار SonicSpy برنامه جاسوسافزاری SonicSpy، وظایف مخرب مختلفی را انجام میدهد، ازجمله ضبط مکالمات تلفنی و صوتی از بلندگو، ربودن دوربین دستگاه و عکسها، برقراری تماس بدون اجازه کاربر و ارسال پیامهای متنی به شمارههای انتخاب شده توسط مهاجم. علاوهبر این، جاسوسافزار SonicSpy همچنین اطلاعات کاربر ازجمله تاریخچه تماسها، مخاطبان و اطلاعات مربوط به نقطه دسترسی وایفای را که دستگاه آلوده به آن متصل است، سرقت میکند و بهراحتی از آنها برای ردیابی مکان کاربر بهره میگیرد.
این جاسوسافزار توسط محققان امنیتی شرکت امنیت تلفن همراه لوکآوت کشف شد. محققان همچنین سه نسخه از برنامه پیامرسانی آلوده به SonicSpy را در فروشگاه رسمی گوگلپلی کشف کردند که هزاران بار بارگیری شدهاست. اگرچه برنامهها تاکنون توسط گوگل از فروشگاه گوگلپلی حذف شدهاند، آنها همچنان بهصورت گسترده در فروشگاههای شخص ثالث به همراه دیگر برنامههای آلوده به SonicSpy در دسترس هستند.
ارتباط عراق با جاسوسافزار SonicSpy محققان بر این باورند که این بدافزار به یک توسعهدهنده در عراق وابسته است و میگویند که بهطور کلی خانواده بدافزار SonicSpy از ۷۳ دستورالعمل مختلف از راه دور پشتیبانی میکند که مهاجم میتواند آنها را بر روی یک دستگاه اندرویدی آلوده اجرا کند. ارتباط عراق با این جاسوسافزار ناشی از شباهتهای بین SonicSpy و SpyNote است. SpyNote یکی دیگر از بدافزارهای اندرویدی است که در ماه ژوییه ۲۰۱۶ میلادی کشف شد و بهعنوان یک برنامه Netflix ظاهر شدهبود، گفته میشد این بدافزار توسط یک نفوذگر عراقی نوشته شدهاست.
مایکل فلوسمن، رهبر فناوری خدمات تحقیقاتی امنیت لوکآوت، گفت: «شاخصهای زیادی وجود دارد که نشان میدهد یک عامل پشت توسعه آنها قرار دارد. بهعنوان مثال، هر دو خانواده کد مشابهی به اشتراک میگذارند، بهطور منظم از خدمات DNS پویا استفاده کرده و در درگاه غیراستاندارد ۲۲۲۲ اجرا میشوند. همچنین شاخص مهم، نام حساب توسعهدهنده در پشت Soniac است که در فروشگاه گوگلپلی خدمات وبسایت عراقی ذکر شدهبود.»
روش کار SonicSpy یکی از برنامههای پیامرسانی آلوده به SonicSpy که آن را از طریق فروشگاه گوگلپلی دریافت کردهاست با نام Soniac بهعنوان ابزار ارتباطی ظاهر شدهاست. پس از نصب، Soniac برای پنهان کردن خود از قربانی، آیکون راهاندازی خود را از منوی گوشی هوشمند حذف میکند و در تلاش برای نصب نسخه اصلاح شده برنامهی تلگرام به یک کارگزار دستور و کنترل متصل میشود.
با این حال، این برنامه عملا شامل بسیاری از ویژگیهای مخرب است که به مهاجمان اجازه دسترسی به کنترل کامل دستگاه آلوده را داده و و آن را به یک جاسوس در جیب شما تبدیل میکند که میتواند در سکوت صداها را ضبط کند، تماس برقرار سازد، عکس بگیرد و اطلاعات شخصی شما، ازجمله تاریخچه تماسها، مخاطبان و جزییات مربوط به نقاط دسترسی وایفای را سرقت کند. این برنامهها قبل از اینکه توسط گوگل حذف شوند، هزار تا ۵ هزارمرتبه بارگیری شدهاند، اما از آنجاییکه این بدافزار بخشی از یک خانواده دارای هزار گونه بود، میتوانست هزاران نفر دیگر را نیز آلوده کند.
SonicSpy میتواند مجدداً به فروشگاه گوگلپلی بازگردد اگرچه اکنون برنامههای آلوده به SonicSpy از فروشگاه گوگلپلی حذف شدهاند، محققان هشدار دادند که این بدافزار ممکن است با یک حساب توسعهدهنده دیگر و ارتباط با برنامههای دیگر، مجدداً به فروشگاه گوگلپلی بازگردد. محققان هشدار دادند: «عاملان این خانواده نشان دادهاند که قادر به دریافت جاسوسافزار خود از فروشگاه رسمی برنامهها و توسعهی فعالانه آن هستند و روند ساخت آن نیز بهصورت خودکار صورت میگیرد، احتمالا SonicSpy در آینده دوباره بالا خواهدآمد.»
درحالیکه گوگل برای جلوگیری از اجرای برنامههای مخرب، اقدامات امنیتی زیادی را از طریق بررسیهای امنیتی گوگل انجام دادهاست، برنامههای مخرب هنوز به فروشگاه گوگلپلی راه پیدا میکنند. محققان در ماه گذشته درباره کشف بدافزار هوشمند Xavier در بیش از ۸۰۰ برنامه مختلف اندرویدی که میلیونها بار از فروشگاه گوگلپلی بارگیری شدهبود، هشدار دادهبودند. بدافزاری که میتوانست در سکوت اطلاعات حساس کاربر را جمعآوری کرده و کارهای خطرناک انجام دهد.
در ماه آوریل اخباری در مورد تروجان بانکی بانکبات گزارش شد که با توانایی دریافت امتیازات ویژه مدیر در دستگاههای آلوده به فروشگاه گوگلپلی راه یافتهبود و طیف گستردهای از وظایف مخرب ازجمله سرقت تاریخچه بانکی قربانی را انجام میداد. در همین ماه، حدود دومیلیون کاربر اندروید، قربانی بدافزار پنهان FalseGuide در بیش از ۴۰ برنامه بازیهای محبوب تلفن همراه در فروشگاه رسمی گوگلپلی، مانند Pokémon Go و FIFA Mobile شدند.
راههای رویارویی با بدافزارها سادهترین راه برای جلوگیری از مورد هدف واقع شدن توسط این بدافزارهای هوشمند، این است که همیشه، حتی هنگام بارگیری آنها از فروشگاه رسمی گوگلپلی، مراقب برنامههای مشکوک باشید و سعی کنید برنامهها را تنها از نشانهای تجاری معتبر نصب کنید. علاوه بر این، همیشه قبل از نصب هر برنامهای حتی از فروشگاههای برنامه رسمی به بررسیهای کاربرانی که برنامه را بارگیری کردهاند، مجوز برنامهها و اعطای مجوزهایی که مربوط به هدف برنامه هستند، نگاه کنید.
همچنین برنامهها را از منابع شخص ثالث بارگیری نکنید. اگرچه در این مورد نیز برنامه از طریق فروشگاه رسمی گوگلپلی توزیع میشود، اغلب قربانیان با چنین بدافزارهایی از طریق فروشگاههای برنامه شخص ثالث آلوده شدهاند. در آخر به شما بهشدت توصیه میشود که همیشه یک نرمافزار ضدبدافزار خوب در دستگاه خود داشتهباشید، چراکه میتواند چنین بدافزارهایی را قبل از اینکه دستگاه شما را آلوده کنند، شناسایی و مسدود کرده و دستگاه و برنامههای شما را بهروز نگه دارد.