شناسایی 9 اپلیکیشن دارای بدافزار در فروشگاه Google Play‬
mci-pages-sharing

محققان امنیت سایبری در روز‌های گذشته اعلام کردند که یک بدافزار در داخل 9 اپلیکیشن اندرویدی در فروشگاه Google play وجود داشته است. این اپلیکیشن‌ها با داشتن دسترسی به برنامه‌های مرتبط به حساب‌های مالی قربانیان و همچنین کنترل کامل دستگاه به اطلاعات مالی و بانکی اشخاص اشراف کاملی داشته‌اند.

این بدافزار که Clast82 نامگذاری شده است، از چند تکنیک جهت دور زدن مکانیزم‌های امنیتی گوگل استفاده کرده و در زمانی که ارزیابی اپلیکیشن توسط گوگل انجام شده بود، هیچ رفتار مخربی از خود نشان نداده و پس از دریافت مجوز، رفتار خود را از یک اپلیکیشن بدون مشکل به یک بدافزار تغییر داده که به بدافزارهای AlienBot Banker و MRAT جهت سرقت اطلاعات مالی افراد کمک می‌کند. این 9 اپلیکیشن پس از بررسی گزارش‌ها در تاریخ 28 ژانویه توسط گوگل، در تاریخ 9 فوریه از فروشگاه Google play حذف شدند.

توسعه‌دهندگان این اپلیکیشن‌ها برای دور زدن مکانیزم‌های امنیتی فروشگاه Google play ، روش‌های مختلفی را پیاده‌سازی کرده‌اند. از جمله این روش‌ها استفاده از رمزنگاری برای پنهان کردن دستورات از موتورهای تجزیه و تحلیل گوگل، ایجاد نسخه‌های جعلی از برنامه‌های قانونی و ساختن نظرات جعلی برای جلب کاربران در نصب اپلیکیشن‌ها بوده‌ است.

شناسایی 9 اپلیکیشن دارای بدافزار در فروشگاه Google Play‬

بدافزار Clast82 از سایت معروف GitHub برای دانلود و اجرای کد‌های مخرب روی تلفن‌های‌همراه قربانیان استفاده می‌کرده است.

شناسایی 9 اپلیکیشن دارای بدافزار در فروشگاه Google Play‬

بدافزار Clast82 نیز در صورت خاموش بودن گزینه نصب اپلیکیشن‌ها از منابع ناشناخته روی تلفن‌همراه، به طور مکرر هر پنج ثانیه یک درخواست جعلی به عنوان Google Play Services ایجاد کرده تا کاربر مجوز لازم را فعال کند و در نهایت با استفاده از مجوز لازم برای نصب بدافزار AlienBot اقدام می‌کند. بدافزار AlienBot، خود را به عنوان اپلیکیشنی جهت بانکداری مشترکین معرفی می‌کند و پس از نصب قادر است اعتبار و کدهای احراز هویت دو مرحله‌ای کاربر را به سرقت برد.

نام این 9 اپلیکیشن‌ و Package های آن‌ها پس از نصب به شرح جدول زیر می‌باشد:

نام Package نام اپلیکیشن
Com.lazycoder.cakevpns Cake VPN
Com.protentvpn.freeapp Pacific VPN
Com.abcd.evpnfree Evpn
Com.crrl.beatplayer BeatPlayer
Com.bezrukd.qrcodebarcode QR/Barcode Scanner MAX
Com.abcd.evpnfree eVPN
Com.revosleap.samplemusicplayers Music Player
Com.mistergrizzlys.docscanpro Tooltipnatorlibrary
Com.record.callvoicerecorder QRecorder

در انتها نیز مجدد یادآور می‌شود که همه این اپلیکیشن‌های آلوده به بدافزار توسط خود Gogole Play حذف شده است. در صورتیکه این اپلیکیشن‌ها را روی تلفن‌همراه خود نصب کرده‌اید، فوراً اقدام به حذف آن کرده و در صورت مشاهده رفتار مشکوکی از تلفن‌همراه⸲ پس از تهیه نسخه پشتیبان از اطلاعات، اقدام به بازگردانی تنظیمات کارخانه نموده تا تمامی بدافزارهای موجود حذف شوند.