روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ محققین موفق به شناسایی هشت اپ اندرویدی ناقل بدافزار جدیدی به نام هایکن در فروشگاه رسمی گوگلپلی شدند. بدافزار هایکن، اطلاعات حساس را از قربانیان استخراج کرده و مخفیانه آنها را در سرویسهای پولی با مبالغی بالا عضو میکند. هشت اپ مورد بحث که از همان زمان شناسایی، حذف شدند به طور جمعی حدود 50 هزار دفعه دانلود گشتند. این اپها بیشتر مربوط به دوربین و گیمهای مخصوص کودکان میشدند: Kids Coloring، Compass، qrcode، Fruits coloring book، soccer coloring book، fruit jump tower، ball number shooter و Inongdan. این اپها در حقیقت در پسزمینه به طور مخفیانه یک سری قابلیتهای آلوده انجام میدادند. محققین طی تحقیقاتی که انجام دادند چنین بیان داشتند: «هایکن نشان داده است که میتواند همینطور که با نقاب گوگلپلی خود را مخفی کرده است، قابلیتهای کلیک خود را نیز به رخ بکشد. با اینکه نسبتاً کم دانلود شده است اما این کمپین نشان داده که عاملین مخرب باید از کمپینهای تبلیغاتی تولید درآمد کنند».
بدافزار دانلودشدهی هایکن همان چیزی است که محققین بدان بدافزار «کلیکر» میگویند؛ بدانمعنا که میتواند از کاربر تقلید کرده و روی هر چیزی که در نمایشگر دستگاه پدیدار میشود کلیک کند. تأثیر چنین عملی روی قربانیان دوسویه است: اول اینکه اپهای دانلودشده میتوانند کاربران را در سرویسهای پولی بدون آنکه روحشان هم خبر داشته باشد عضو کنند. دوم اینکه این بدافزار میتواند به هر اطلاعات حساس روی نمایشگر موبایل دسترسی داشته باشد- از ایمیلهای کاری گرفته تا مکالمات کاری از طریق اپهای پیامرسان.
بعد از دانلود، هایکن با سرور ریموت ارتباط میگیرد و درخواست مجوز میکند؛ چیزی که یک اپ دانلودشدهی واقعی برای کار کردن هرگز درخواست نمیکند (به عنوان مثال، اینکه اپ بتواند کد را وقتی دستگاه استارت آپ میکند اجرا نماید). سپس کد را در پلتفرمهای تبلیغاتی کسب درآمد برای فیسبوک (Facebook Ad Center) و گوگل (خصوصاً Google AdMob) –که به مهاجمین دسترسی به کارتهای اعتباری به چنین اکانتهایی را میدهد- تزریق میکند. به نقل از محققین، این اکانتها عادت دارند برای سرویس مشترکین پولی هزینه کنند. به نقل از محققین، بعد از گزارش تهدید به گوگل، تمامی این اپهای آلوده از گوگلپلی برداشته شدند. محققین هشدار میدهند که کاربران حین دانلود اپها باید همیشه حواسشان به بازخوردها و تحلیلهایی که در مورد اپها شده باشد و آنها را بررسی نمایند. به عنوان مثال، کامنتهای زیر صفحات دانلود گوگلپلی برای این هشت اپ حاکی از این بود که رفتار مشکوکی دارند و یکجورهایی دارند پرچم قرمز نشان میدهند (همانطور که در تصویر زیر مشاهده میکنید).
این خبر یک روز بعد از اینکه گوگل 600 اپ را برای نمایش رفتار تبلیغاتی مخرب ممنوع کرد، به بیرون درز کرد. گوگل این رفتار را یک کلاهبرداری تبلیغات موبایل خوانده است. پر بجورک، مدیر ارشد بخش محصولات Ad Traffic Quality در گوگل چند روز گذشته چننی گفت، «کلاهبرداری تبلیغات موبایل چالشی در سطح صنعتی است که میتواند در بسیاری از انواع به طرق گوناگون ظاهر شود. همچنین این پتانسیل را دارد هم به کاربران هم به تبلیغکنندگان و هم به منتشرکنندگان آسیب برساند».
او در ادامه چنین گفت، «ما در گوگل، تیمهایی را مقرر کردیم که تمرکزشان فقط بر روی شناسایی و متوقف کردن توسعهدهندگان مخرب است؛ همانهایی که تلاش دارند اکوسیستم موبایل را به تباهی بکشانند. در راستای همین اقدامات، راهکارهایی نیز برای مبارزه با افرادی اتخاذ کردیم که اپهایی به ظاهر بیضرر میسازند اما در اصل این اپها دارند سیاستهای تبلیغاتی را دور میزنند».
اپهای آلوده همچنان دارند فروشگاه گوگلپلی را درگیر میکنند. بعنوان مثال اخیراً محققین به اپهایی که در ازای ارائهی کاراییهایی بسیار سطحی و پیشافتاده به طور غیرقانونی از کاربران پول میگیرند اشاره کردند. همچنین بدافزار جوکر هم ثابت کرد میتواند تهدیدی خطرناک در گوگلپلی باشد: گوگل در ماه ژانویه گفت 17000 اپ اندرویدی را که توزیعکنندهی بدافزار بودند تا امروز حذف کرده است. با این حال به نقل از محققین هنوز چهار نمونه از بدافزار جوکر در گوگلپلی وجود دارد که 130 هزار بار هم دانلود شدهاند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.