بدافزار جودی بیش از 36 میلیون دستگاه اندرویدی را آلوده کرد - نسخهی قابل چاپ +- باشگاه کاربران روماک (https://forum.romaak.ir) +-- انجمن: انجمن کامپیوتر، سرور و شبکه (https://forum.romaak.ir/forumdisplay.php?fid=3) +--- انجمن: هک و امنیت (https://forum.romaak.ir/forumdisplay.php?fid=5) +--- موضوع: بدافزار جودی بیش از 36 میلیون دستگاه اندرویدی را آلوده کرد (/showthread.php?tid=2985) |
بدافزار جودی بیش از 36 میلیون دستگاه اندرویدی را آلوده کرد - farnaz - ۹۶/۳/۱۳ پژوهشگران امنیتی بر این باور هستند که بزرگترین کمپین بدافزاری را در فروشگاه گوگل پلی شناسایی کردهاند. کمپینی که تا به امروز موفق شد، 36.5 میلیون دستگاه اندرویدی را از طریق نرمافزارهای تبلیغ-کلیکی آلوده سازد.
کارشناسان امنیتی به تازگی گزارش کردهاند اوایل هفته جاری 41 برنامه کاربردی را که منتصب به یک شرکت کرهای است در فروشگاه گوگل پلی شناسایی کردهاند. تمامی این برنامهها تبلیغات جعلی را در نرمافزارها و دستگاههای قربانی پخش میکردند و به این شکل سود سرشاری را عاید توسعهدهندگان این تبلیغات مخرب میکردند. در همه این برنامههای مخرب یک برنامه تبلیغاتی مخرب به نام جودی (Judy) شناسایی شده است. این برنامه تبلیغاتی کلیکهای جعلی را از روی دستگاه قربانی ایجاد میکند. همه این برنامههای مخرب از سوی یک شرکت کرهای به نام Kiniwini طراحی شدهاند و تحت نام شرکت ENISTUDIO Corp انتشار پیدا کرده است. در تمامی این برنامهها یک برنامه تبلیغاتی مزاحم قرار گرفته که قادر است کلیکهای جعلی را ایجاد کرده و به این شکل برای توسعهدهندگان خود درآمدزایی کند. اما کار به همین جا ختم نمیشود. پژوهشگران همچنین موفق شدهاند تعداد دیگری برنامه کاربردی که از سوی طراحان دیگری نوشته شده و روی پلی استور انتشار پیدا کرده است را کشف کنند. عملکرد این برنامهها نیز مشابه با برنامه تبلیغاتی مزاحم جودی بوده و به یک شکل کار میکند. با این وجود کارشناسان هنوز موفق نشدهاند ارتباط میان این دو کمپین را شناسایی کنند. اما این احتمال وجود دارد که توسعهدهندگان این دو کمپین کدهای مخرب را دانسته یا ندانسته با یکدیگر به اشتراک قرار داده باشند. پژوهشگران امنیتی در این ارتباط گفتهاند: «غیرمنطقی است اگر بتوانیم یک سازمان واقعی را در پسزمینه بدافزارهای مخرب تلفنهمراه پیدا کنیم. طیف گستردهای از این بدافزارها از سوی هکرهای واقعی طراحی میشوند.» برنامههایی که در پلی استور قرار گرفتهاند به طور مستقیم دارای هیچگونه کد مخربی نیستند و همین موضوع باعث شده است این برنامهها از راهکار امنیتی گوگل موسوم به Google Bouncer بگریزند. هنگامی که بدافزاری دانلود میشود، برنامه در اختفای کامل دستگاه قربانی را در سرور کنترل و فرماندهی ثبت میکند و در ادامه به انتظار مینشیند تا از جانب سرور پاسخی را دریافت کند. در ادامه سرور فرمانها و باردادهها (payload) را برای آغاز به کار عملیات مخرب برای دستگاه قربانی ارسال میکند. این کدهای مخرب مشتمل بر کدهای جاوااسکریپتی هستند که برای آغاز یک فرآیند مخرب مورد استفاده قرار میگیرند. پژوهشگران امنیتی گفتهاند: «بدافزار از طریق عامل کاربری (user agent) آدرسهای اینترنتی را باز میکنند. این آدرسها یک صفحه مخفی را باز کرده و دستگاه قربانی را به سمت سایت دیگری هدایت میکنند. زمانی که سایت هدف با موفقیت باز شد، بدافزار از کدهای جاوااسکریپت برای مکانیابی و کلیک کردن روی بنرهای تبلیغاتی استفاده میکند. برای این منظور بدافزار فوق از زیرساخت شبکه تبلیغاتی گوگل استفاده میکند.» این برنامههای مخرب در حقیقت بازیهای معتبر و قانونی هستند، اما در پسزمینه نقش پلی ار بازی میکنند که دستگاه قربانی را به سرور تبلیغاتی متصل میکنند. برنامههای مخربی که پژوهشگران امنیتی موفق شدهاند در فروشگاه پلی استور آنها را شناسایی کنند آخرین مرتبه در آوریل سال جاری میلادی بهروزرسانی شدهاند. این موضوع نشان میدهد که این برنامههای تبلیغاتی حداقل به مدت یک سال است که به این شیوع فعالیت کرده و کاربران را قربانی خود ساختهاند. گوگل پس از اطلاع از این موضوع تمامی این برنامههای مخرب را از فروشگاه خود حذف کرده است، اما بدون شک مکانیزم Google Bouncer به تنهایی این پتانسیل را ندارد تا مانع ورود چنین برنامههایی به فروشگاه رسمی گوگل شود، در نتیجه بهتر است پیش از دانلود و نصب برنامهها ابتدا از اصالت و ایمنی برنامهها اطمینان حاصل کنید. |