۱۵۰ میلیون کاربر اندروید قربانی یک بدافزار/ لیست اپ های آلوده
مهر/ مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه اي نسبت به آلودهشدن ۱۵۰ ميليون کاربر اندرويد به يک بدافزار موبايلي از طريق فروشگاه گوگل پلي هشدار داد. يک پويش پيشرفته مخرب کشف شده است که بدافزار سيمباد (SimBad) را از طريق فروشگاه Google Play منتشر ميکند. بهگفته کارشناسان، بيش از ۱۵۰ ميليون کاربر در حال حاضر تحت تأثير اين پويش قرار گرفتهاند. سيمباد خود را به تبليغات مبدل ميکند و در مجموعه کيت توسعه نرمافزار RXDrioder (SDK) که براي اهداف تبليغاتي و کسب درآمد استفاده ميشود، مخفي ميشود. هر برنامهاي که با استفاده از SDK مخرب توسعه مييابد، شامل کد مخرب است. اين بدافزار توسط دامنه«addoider [.] com» بهعنوان يک SDK مرتبط با تبليغ ارائه شده است. با دسترسي به اين دامنه، کاربران به يک صفحه ورودي دسترسي پيدا ميکنند که بهنظر ميرسد مشابه ساير پنلهاي بدافزار است. پيوندهاي «ثبت نام» شکسته ميشوند و کاربر به صفحه ورود به سايت هدايت ميشود. بدافزار سيمباد همچنين قادر به هدايت کاربران اندرويدي است تا برنامههاي مخرب بيشتري را از فروشگاه Play يا از يک سرور از راه دور دانلود کند. هنگامي که يک کاربر اندرويد يک برنامه آلوده را دريافت و نصب ميکند، بدافزار سيمباد خود را در «BOOT_COMPLETE» و «USER_PRESENT» ثبت ميکند. به اين ترتيب، نرمافزارهاي مخرب ميتوانند عمليات را پس از اتمام مرحله بوتشدن انجام دهند، در حالي که کاربر، بدون اطلاع از دستگاه خود استفاده ميکند. پس از نصب، بدافزار سيمباد به سرور فرماندهي و کنترل (C&C) متصل ميشود و فرماني را براي انجام آن دريافت ميکند. سپس آيکون خود را از لانچر حذف ميکند که اين کار حذف برنامه مخرب را براي کاربر دشوار ميسازد. همزمان، تبليغات را در پسزمينه نمايش ميدهد و يک مرورگر با يک URL مشخص براي توليد درآمد، بدون ايجاد سوءظن باز ميکند. سيمباد داراي قابليتهايي است که ميتوانند به سه گروه نمايش تبليغات، فيشينگ و قرار گرفتن در معرض ديگر برنامهها تقسيم شوند. با استفاده از قابليت بازکردن يک URL مشخصشده در مرورگر، مهاجم سيمباد ميتواند صفحات فيشينگ را براي سيستمعاملهاي مختلف ايجاد کند و آنها را در يک مرورگر باز کند، بدين ترتيب، حملات فيشينگ هدفدار را روي کاربر انجام دهد. همچنين با توانايي بازکردن برنامههاي بازاري مانند Google Play و ۹Apps، با جستجوي کليدواژه خاص يا حتي يک صفحه برنامه منفرد، اين مهاجم ميتواند به ديگر مهاجمان تهديد دست يابد و سود خود را افزايش دهد. مهاجم حتي ميتواند با نصب يک برنامه از راه دور از يک سرور اختصاصي، فعاليتهاي مخرب خود را به سطح بالاتر ببرد تا به وي اجازه نصب نرمافزارهاي مخرب جديد را بدهد. مرکز ماهر تاکيد کرد که با توجه به تحقيقات انجامشده، اکثر برنامههاي آلوده، بازيهاي شبيهساز، ويرايشگر عکس و برنامههاي کاربردي تصاوير پسزمينه هستند. چند برنامه برتر آلوده به بدافزار سيمباد عبارتند از: - شبيهساز Snow Heavy Excavator (دانلود: 10 ميليون) - مسابقه Hoverboard (دانلود: 5 ميليون) - شبيهساز Real Tractor Farming (دانلود: 5 ميليون) - Ambulance Rescue Driving (دانلود: 5 ميليون) - شبيهساز Heavy Mountain Bus ۲۰۱۸ (دانلود: 5 ميليون) - Fire Truck Emergency Driver (دانلود: 5 ميليون) - شبيهساز Farming Tractor Real Harvest (دانلود: 5 ميليون)