پنج سال پیش، محققان به کشفی تلخ دست یافتند: یک برنامه قانونی در فروشگاه Google Play مخفیانه توسط کتابخانهای به یک برنامه مخرب تبدیل شده بود که توسعه دهندگان از آن برای کسب درآمد تبلیغاتی استفاده میکردند. بنابراین، برنامه با کدی آلوده شد که باعث شد ۱۰۰ میلیون دستگاه آلوده به سرورهای کنترل شده توسط مهاجمان متصل شوند و برنامههای مخفی را دانلود کنند. اکنون، تاریخ تکرار شده است.
محققان گزارش دادند که دو برنامه جدید را پیدا کرده اند که ۱۱ میلیون بار از Google Play دانلود شده و به همان خانواده بدافزار آلوده شده بودند.
محققان کسپرسکی بر این باورند که یک کیت توسعه بدافزار برای یکپارچهسازی قابلیتهای تبلیغاتی بار دیگر مسئول این اتفاق است.
کاردستی هوشمند
کیتهای توسعه نرمافزار که معمولاً به عنوان SDK شناخته میشوند، برنامههایی هستند که چارچوبهایی را در اختیار توسعهدهندگان قرار میدهند که میتوانند با سادهسازی کارهای تکراری، روند ایجاد برنامه را به طور چشمگیری سرعت بخشند. هنگامی که یک SDK به ظاهر نامعتبر مورد استفاده قرار میگیرد، میتواند از ارائه تبلیغات پشتیبانی کند. اما در پشت صحنه، مجموعهای از روشهای پیشرفته برای ارتباط مخفیانه با سرورهای مخرب، آپلود اطلاعات کاربر، دانلود کدهای مخرب و به روز رسانی آن در هر زمان ارائه میدهد. این خانواده بدافزار پنهان شده در هر دوی این ها به نام Necro شناخته میشود. اما این بار، برخی از انواع مختلف از تکنیکهایی مانند مخفی کاری استفاده میکنند، روشی مبهم که به ندرت در بدافزارهای مشابه دیده میشود.
هنگامی که دستگاهها به این بدافزار آلوده میشوند، به یک سرور فرمان و کنترل تحت نفوذ مهاجم متصل میشوند و درخواستهای وب حاوی اطلاعات گزارش دادههای رمزگذاریشده درباره هر دستگاه در معرض خطر را ارسال میکنند.
محققان توضیح دادند که ماژول SDK مخرب از نرمافزار پنهانکاری بسیار ساده، اما بسیار مؤثر استفاده میکند. این نرم افزار همچنین بارهای بعدی را که نصب میشوند دانلود میکند که به نوبه خود افزونههای مخربی را دانلود میکنند که میتوانند با هر دستگاه آلوده جداگانه ترکیب و مطابقت داده شوند تا اقدامات مختلفی را انجام دهند.
برنامههای آلوده
محققان برنامههای Necro را در دو برنامه در Google Play پیدا کردند. یکی از این اپلیکیشنها Wuta Camera بود، اپلیکیشنی که تاکنون ۱۰ میلیون بار دانلود شده است.
نسخههای Wuta Camera حاوی یک SDK مخرب هستند که برنامهها را آلوده میکند. این برنامه برای حذف مؤلفه مضر به روز شده است. یک برنامه جداگانه که حدود یک میلیون بار دانلود شده، معروف به Max Browser است. این برنامه دیگر در Google Play در دسترس نیست.
همچنین، محققان دریافتند که Necro انواع برنامههای اندروید موجود در بازارهای جایگزین را آلوده میکند. در بیشتر موارد، این برنامهها خود را بهعنوان نسخههای اصلاحشده اپلیکیشنهای قانونی مانند واتساپ و دیگران تبلیغ میکنند. محققان تاکید کردند افرادی که نگران احتمال آلوده شدن به Necro هستند باید برنامههای خود را بررسی کنند و به برنامههای آنتی ویروسها اعتماد نکنند!
منبع: ارم نیوز