روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)بیش از 800 اپلیکیشن اندرویدی مختلف که میلیون ها بار از گوگل پلی دانلود شده اند توسط کتابخانه ی تبلیغاتی مخرب که به طور مخفیانه اطلاعات حساس کاربران را جمعآوری کرده و میتواند فعالیتهای خطرناکی را انجام دهد، آلوده شده اند.
این کتابخانه ی تبلیغاتی مخرب که ما در حال حاضر با Xavier از آن یاد می کنیم؛ ابتدا در سپتامبر 2016 روئیت شد. این گونه عضوی از خانواده بدافزارهای AdDown است و بهطور بالقوه، تهدیدی جدی علیه میلیون ها کاربر اندروید بهحساب میآید.
به دلیل اینکه 90 درصد از برنامه های اندرویدی رایگان هستند، تبلیغات در آن به یک منبع درآمد برای سازندگان اپلیکیشن ها تبدیل شده است. در رابطه با این بدافزار، سازندگان اپلیکیشن ها یک کتابخانه تبلیغاتی SDK را به برنامههایشان اضافه میکنند که بهطورمعمول بر روی عملکرد هسته این برنامهها تأثیری ندارد.
طبق گفته محققان امنیتی در Trend Micro، کتابخانه ی تبلیغاتی مخرب به صورت از قبل نصب شده بر روی انواع گسترده از اپلیکیشن های اندرویدی قرار دارد که این اپلیکیشن ها شامل برنامه های ویرایش عکس، تغییر دهنده ی پس زمینه و آهنگ زنگ، تقویت کننده صدا، پخش کننده موسیقی و فیلم هستند.
بدافزار Xavier چگونه کار می کند؟
نسخههای قدیمی کتابخانه تبلیغاتی Xavier نوعی ابزار تبلیغاتی مزاحم بودند که توانایی نصب کردن دیگرAPK ها را بهطور مخفیانه بر روی دستگاههای مورد هدف را داشتند، اما در آخرین ورژن منتشر شده، نویسنده این بدافزار این ویژگیها را با چند ویژگی دیگر که شامل موارد زیر است، جایگزین کرده است:
گریز از تشخیص:
این بدافزار به اندازه ی کافی هوشمند طراحی شده است که بتواند به راحتی از هرگونه شناسایی و آنالیز های استاتیک و دینامیک گزیران باشد و به قول معروف دم به تله ندهد. این ویژگی به گونه است که مدام بدافزار را چک می کند و بررسی می کند که ببیند بدافزار در یک محیط کنترل شده در حال اجراست یا نه و از رمزنگاری ارتباطات و داده ها برای این کار استفاده می کند.
اجرای کد از راه دور:
این بدافزار به گونه ای طراحی شده است که کدهای مورد نیاز خود را از یک سرویس دهنده ی C&C از راه دور دانلود کرده و به مجرمان این امکان را می دهد که هرگونه کد مخربی را از راه دور بر روی دستگاه مورد هدف اجرا کنند.
ماژول سرقت اطلاعات:
سازندگان این بدافزار کاملا محتاطانه این نرم افزار مخرب را طراحی کرده اند، آن ها به راحتی داده های کاربر را که بر روی دستگاه خود ذخیره شده است را به سرقت می برند، این داده ها شامل ایمیل کاربران، شناسه ی دستگاه، مدل دستگاه، نسخه ی سیستم عامل، کشور، سازنده، اپراتور سیستم عامل، وضوح تصویر و برنامههای نصبشده بر روی دستگاه است.
طبق گفته محققان امنیتی، بیشترین تعداد قربانیان این بدافزار از کشورهای جنوب شرقی آسیا مانند ویتنام، فیلیپین و اندوزی بودند و تعداد کمی از دانلودها نیز از آمریکا و اروپا انجام شده است.
متاسفانه این روزها از گسترش بدافزارهای اندرویدی بسیار می شنویم و آن ها روز به روز پیچیدهتر، پیشرفته تر و هوشمندانه تر از قبل عمل می کنند. فقط در هفته گذشته، ما اولین بدافزار اندرویدی را دیدیم که دارای قابلیت تزریق کد بود و در فروشگاه آنلاین گوگل قرار داشت.
چگونه در برابر Xavier از دستگاه و اطلاعات خود محافظت کنیم؟
- ساده ترین راه برای مقابله با بدافزارهایی نظیر Xavier این است که رفتاری آگاهانه داشته باشیم، حتی در زمانی که از فروشگاهی رسمی همانند گوگل پلی اپلیکیشنی را دانلود می کنید، برنامه هایی که متعلق به برند های معروف هستند را انتخاب کنید.
- همیشه به نظرات کاربران که درگذشته یک نرمافزار را دانلود کردهاند توجه کنید و مجوزهای برنامه را قبل از نصب کردن آن به طور دقیق آنالیز کنید. نظرات کاربران، تجربه ی آن ها هنگام استفاده از اپلیکیشن است.
- استفاده از یک راهکار امنیتی همانند اینترنت سکیوریتی کسپرسکی برای اندروید برای کاربرانی که مدام در حال وب گردی و دانلود اپلیکیشن های مختلف هستند، واجب است. این راهکار امنیتی، چنین بدافزارهایی را قبل از آلوده کردن دستگاه شما تشخیص و مسدود می کند.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.