۱۷ اپلیکیشن آلوده‌به بدافزار جوکر از پلی استور حذف شدند

زوميت/ محققان امنيتي اعلام کردند گوگل ۱۷ اپليکيشن آلوده به بدافزار جوکر (موسوم‌به Bread)‌ را پس از ۱۲۰٬۰۰۰ بار دانلود توسط کاربران، از پلي استور حذف کرده است. 
   
گوگل هفته‌ي گذشته ۱۷ اپليکيشن اندرويدي را از فروشگاه آنلاين خود يعني پلي استور حذف کرد. محققان امنيتي مؤسسه‌‌اي با نام Zscaler به گوگل گفتند ۱۷ اپليکيشن موردبحث به بدافزار جوکر (ملقب‌به Bread) آلوده بوده‌اند. وايرال گاندي، از محققان امنيتي Zscaler،‌ مي‌گويد: «اين جاسوس‌افزار به‌گونه‌اي طراحي شده است که بتواند پيامک‌هاي گوشي، فهرست مخاطبان و اطلاعات دستگاه را سرقت کند. به‌علاوه جاسوس‌افزار موردبحث مي‌تواند بدون اطلاع کاربر، او را در سرويس‌هاي WAP (پروتکل کاربردي بي‌سيم) ثبت‌نام کند».

ظاهرا ۱۷ اپليکيشن آلوده به بدافزار، در ماه جاري ميلادي در پلي استور منتشر شده‌اند و کارمندان پلي استور نتوانستند مخرب‌ بودن آن‌ها را تشخيص دهند. بررسي‌ها نشان مي‌دهد اين اپليکيشن‌ها تا پيش از حذف شدن، بيش از ۱۲۰٬۰۰۰ بار دانلود شده‌اند. 

---

بازار

---

۱۷ اپليکشيني که گوگل از پلي استور حذف کرده و داراي بدافزارند، شامل اين موارد هستند: All Good PDF Scanner و Mint Leaf Message-Your Private Message و Unique Keyboard - Fancy Fonts & Free Emoticons و Tangram App Lock و Direct Messenger و Private SMS و One Sentence Translator - Multifunctional Translator و Style Photo Collage و Meticulous Scanner و Desire Translate و Talent Photo Editor - Blur focus و Care Message و Part Message و Paper Doc Scanner و Blue Scanner و Hummingbird PDF Converter - Photo to PDF و All Good PDF Scanner.

گوگل پس از بررسي‌هاي دقيق‌تر، سرانجام تصميم گرفت تمامي اين اپليکيشن‌ها را از پلي استور حذف کند. به‌علاوه اهالي مانتين‌ويو با استفاده از سرويس Play Protect، اپليکيشن‌هاي يادشده را از دستگاه‌هايي که روي آن‌ها نصب شده‌اند غيرفعال کردند. بااين‌حال کاربراني که ۱۷ اپليکيشن يادشده را نصب کرده‌اند بايد حتما به‌صورت دستي آن‌ها را از روي دستگاه حذف کنند.

اين نخستين باري نيست که بدافزار جوکر در پلي استور ظاهر مي‌شود. اين بدافزار تاکنون به اپليکيشن‌هاي مختلف تزريق شده و به دستگاه‌هاي متعددي راه پيدا کرده است. بررسي‌ها نشان مي‌دهد طي چند ماه اخير، اين سومين باري است که اپليکيشن‌هاي حاوي بدافزار جوکر از بررسي‌هاي امنيتي گوگل عبور مي‌کنند و در پلي استور منتشر مي‌شوند.

در اوايل ماه جاري ميلادي بود که گوگل ۶ اپليکيشن آلوده به بدافزار جوکر را پس از انتشار آن‌ها روي پلي استور،‌ حذف کرد. اين اپليکيشن‌ها تا قبل از اينکه توسط محققان امنيتي Pradeo پيدا شوند، بارها دانلود شده بودند. پيش از آن اتفاق، در ماه جولاي ۲۰۲۰ (تير و مرداد ۱۳۹۹) گوگل مجموعه‌ي ديگري از اپليکيشن‌هايي را که به بدافزار جوکر آلوده و توسط محققان امنيتي Anquanke پيدا شده بودند، حذف کرده بود. جالب است بدانيد اپليکيشن‌هاي حذف‌شده‌ي موردبحث، از ماه مارس ۲۰۲۰ (اسفند ۱۳۹۸ و فروردين ۱۳۹۹) دردسترس قرار گرفته بودند و توانستند ميليون‌ها دستگاه را آلوده کنند. 

شايد براي‌تان سؤال باشد که چنين اپليکيشن‌هايي چگونه مي‌توانند از آزمايش‌هاي امنيتي گوگل به‌سلامت عبور و به پلي استور راه پيدا کنند؟ محققان مي‌گويند اپليکيشن‌هاي آلوده به بدافزار جوکر به تکنيکي تحت عنوان Droppers متکي مي‌شوند. در تکنيک Droppers، دستگاه فرد قرباني در فرآيندي چندمرحله‌اي به بدافزار آلوده مي‌شود. تکنيک موردبحث، تا حد زيادي ساده است؛ اما مقابله با آن توسط گوگل، به‌هيچ‌وجه کار ساده‌اي نيست.

توليدکنندگان بدافزار، کار خود را با توليد نسخه‌ي مشابه اپليکيشني قانوني آغاز مي‌کنند و در اصطلاح، قابليت‌هاي اپليکيشن‌هاي قانوني را کلون مي‌کنند. اين افراد سودجو در مرحله‌ي بعد، اپليکيشن خود را براي پلي استور مي‌فرستند. اپليکيشنِ مخرب، بدون هيچ‌گونه مشکلي کار مي‌کند و وقتي اجرايش کنيد، درخواست دسترسي به مجوزهاي حساس مي‌دهد. البته اين اپليکيشن‌ها در حالت کلي هيچ‌گونه رفتاري دال‌بر مخرب بودن از خود نشان نمي‌دهند.

گوگل در اسکن‌هاي امنيتي خود موفق‌به کشف کدهاي مخرب موجود در اپليکيشن‌ها نمي‌شود، زيرا انجام اقدامات مخرب معمولا چند ساعت تا چند روز به‌تأخير مي‌افتد. گوگل براي تسريع روند انتشار اپليکيشن‌ها روي پلي استور، در زماني سريع، کد را بررسي و اپليکيشن را منتشر مي‌کند. بدافزارهاي خانواده‌ي جوکر که گوگل آن‌ها را Bread مي‌نامد در بين بدافزارهايي قرار مي‌گيرند که به‌شکلي گسترده از روش Droppers استفاده مي‌کنند.

در کانال آي‌تي و ™CanaleIT هم کلي عکس و ويدئوي دسته اول و جذاب داريم