اپليكيشنهاي مخرب اندرويدي حاوي بدافزار Joker به آمار نيم ميليون نصب رسيدند
كمپين بدافزاري جديد با نفود به گوگل پلي از طريق اپليكيشنهاي متعدد، در دستگاههاي هوشمند متخصصان نصب ميشود و هدف اصلي يعني كلاهبرداري تبليغاتي را انجام ميدهد. بدافزار اصلي براي اجراي كمپين مورد انديشه متخصصين، Joker نام دارد. الكسيس كوپرينز، محقق تهديد امنيت سايبري شركت CSIS Security Group هفتهي گذشته، اخبار ردگيري تروجان مذكور را به رسانههاي اعلام كرد. او ادعا ميكند كه تاكنون ۲۴ اپليكيشن اندرويدي آلوده به جوكر شناسايي شدهاند.
آمار گروه امنيتي نشان ميدهد كه اپليكيشنهاي مخرب تاكنون بيش از ۴۷۲ هزار بار در دستگاههاي قرباني نصب شدهاند. اين اپليكيشنها حاوي بدافزاري بودند كه نام جوكر توسط همين گروه امنيتي براي آن انتخاب شد. البته اين نام به يكي از نامهاي دامنهي سرور C2 يا Command-and-Control دستاندركاران كمپين نفوذ نيز مرتبط ميشود.
بدافزار جوكر با استفاده از كدهاي جاوا اسكريپت حضور خود را در دستگاه قرباني مخفي ميكند. بهعلاوه با تكنيكهاي متعدد نيز كدهاي بدافزار قفل ميشوند. در بسياري از موارد، بدافزار در فريموركهاي تبليغاتي متصل به اپليكيشنهاي آلوده ادغام شده بود. كد اين بدافزار شامل متخصصدهاي عمومي تروجانها همچون دزديدن پيامك، اطلاعات مخاطبان و اطلاعات دستگاه ميشود. البته جوكر يك قدم فراتر ميرود و با اجراي كمپينهاي تبليغاتي در دستگاه قرباني، براي مجرم سايبري درآمد ايجاد ميكند.
جوكر ميتواند با شبيهسازي كليك و ثبتنام مخفيانهي متخصص در سرويسهاي پولي، با شبكههاي تبليغاتي و وبسايتها تعامل كند. بهعنوان مثال در برخي از دستگاههاي قرباني در دانمارك، در سيستمي با هزينهي هفتگي هفت دلار ثبتنام انجام شد. شبيهسازي كليك، استخراج پيامك تأييد از داخل دستگاه و اتصال به كدهاي وبسايت مقصد، فرايندي بود كه قرباني را بدون اطلاع خودش در سرويس پولي ثبتنام ميكرد. در موارد ديگر، رويكرد سادهتري از سوي بدافزار انجام شده و شايد تنها پيامكي به سرويسهاي پولي مخابراتي ارسال شود.
درحال حاضر ۳۷ كشور بهعنوان مقاصد حملهها و كمپينهاي جوكر كشف شدهاند. از ميان آنها ميتوان به چين، بريتانيا، آلمان، فرانسه، سنگاپور و استراليا اشاره كرد. بسياري از اپليكيشنهايي كه توسط گروه امنيتي كشف شدند، شامل فهرستي از كدهاي موبايل كشورهاي گوناگون (MCC) هستند. جوكر براي فعاليت بهتر ابتدا شمارهي سيمكارت موبايل قرباني را پيدا ميكند و سپس آن را با فهرست MCC تطبيق ميدهد. بهعنوان مثال بسياري از اين اپليكيشنها بدافزار را روي دستگاه متخصصان آمريكايي و كانادايي نصب نميكنند. البته برخي از آنها هم هيچ محدوديتي در اجرا در كشورهاي گوناگون ندارند.
هنوز اطلاع زيادي از فرد يا گروه اجراكنندهي كمپين جوكر در دست نيست. البته رابط متخصصي مديريت C2 و برخي از كدهاي موجود نشان ميدهد كه توسعهدهندههاي بدافزار احتمالا چيني هستند. گوگل بهخاطر تعداد بالاي نصب پيش از انتشار رسمي اخبار نفوذ جوكر از سوي گروه امنيتي، تمامي اپليكيشنهاي مخرب را از گوگل پلي حذف كرد. بههرحال اگر شما هريك از اپليكيشنهاي زير را در دستگاه اندرويدي خود نصب كردهايد، تأكيد ميشود كه در اولين فرصت آنها را حذف كنيد:
رخداد كنوني، دومين مرتبه در هفتههاي گذشته است كه بدافزار در اپليكيشنهاي مشهور اندرويدي كشف ميشود. در ماه اوت، كسپرسكي خبر از كشف بدافزار اندرويدي در اپليكيشن مشهور CamScanner داد. كوپرينز در پايان اطلاعرساني پيرامون كمپبن سايبري و بدافزار جوكر، به اهميت مجوز در اپليكيشنهاي اندرويدي اشاره كرد. او تأكيد ميكند كه متخصصان هنگام نصب توجه زيادي به دسترسيهاي مورد انديشه متخصصين اپليكيشن داشته باشند. برخي از اپليكيشنهاي مخرب در همان مراحل نصب بهروشني دسترسي به بخشهايي را درخواست كرده بودند كه براي كارايي اصلي، نيازي به آنها نداشتند. هرگاه چنين مجوزهايي را در اپيكيشنهاي اندرويدي و خصوصا انواع كوچك و كمتر شناختهشده مشاهده كرديد، بهتر است دربارهي نصب آن تجديدانديشه متخصصين كنيد.
هم انديشي ها