روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ MobSTSPY، یک جاسوسافزار و دزدِ اطلاعاتیِ اندرویدی است که سعی دارد اپهای تروجانزدهی خود را از طریق گوگلپلی در سطح جهانی توزیع کند. این بدافزار خود را به شکل اپلیکیشنی قانونی درآورده و تظاهر میکند چیزی مانند گیم، چراغقوه یا ابزار کار است. گفته میشود در طول سال 2018، تروجان MobSTSPY دستکم با 6 اپ مختلف توانسته است به گوگلپلی نفوذ کند.
روز پنجشنبه، اکولار زو و گری گو، دو محقق شرکت ترند میکرو در پستی اینطور نوشتند: «آنچه این پروندهی تروجانی را جذاب کرده، طریقهی توزیع این اپها به طور گسترده است. ما در طول پژوهش عمیق و نظارت دقیقی که روی این تروجان داشتیم، توانستیم شاهد برآیند کلیِ این توزیع باشیم و در نهایت دریافتیم کاربرانِ مبتلا، از 196 کشور مختلف بودهاند».
گستردگی این توزیع از موزابیک تا لهستان، ایران تا ویتنام، الجزیره تا تایلند، آلمان تا عراق و.... است. Flappy Birr Dog، FlashLight، HZPermis Pro Arabe، Win7imulator، Win7Launcher و Flappy Bird مشخصاً اپهایی بودند که در گوگلپلی درگیر این ماجرا شدند... همهی آنها سال گذشته عرضه شدند و اکنون دیگر در این فروشگاه موجود نیستند (گوگل آنها را حذف کرده است). برخی از این اپها بیش از 100 هزار بار توسط کاربران سراسر دنیا دانلود شده بودند. از حیث عملکرد و توانایی، این تروجان یک سارق اطلاعاتی است که البته در بخش فیشینگ هم تبحر بسیاری دارد.
در مورد توانایی شماره یک آن (سرقت اطلاعات) باید گفت این تروجان، اطلاعاتی نظیر موقعیت کاربر، پیامهای متنی، فهرستهای کانتکت، لاگهای تماس و آیتمهای کلیپبورد را میرباید. MobSTSPY میتواند فایلهای یافتشده روی دستگاه را ربوده و آپلود کند. ترند میکرو بهتازگی دریافته که این تروجان برای برقراری ارتباط با سرور "فرمان و کنترل[1]" (C&C) خود از پیامرسان [2]FCM استفاده میکند. این تروجان بسته به فرمانی که دریافت میکند، داده ها را به طور غیرمُجازی از دستگاههای کامپیوتر خارج میکند.
تروجان MobSTSPY همچنین در همان مرحلهی اولیه اطلاعات مهمی از دستگاه را جمعآوری میکند. این اطلاعات شامل کشوری که در آن رجیستر شده است، نام پکیج، نام تولیدکنندهی دستگاه و غیره میشود. این اطلاعات در ادامه میتوانند برای حملات اکسپلویت و یا مهندسی اجتماعی حسابی به کار بیایند.
دو محقق مذکور در ادامه اینطور نوشتند: «این تروجان، اطلاعات جمعآوریشده را به سرور C&C خود ارسال کرده و بدینترتیب دستگاه را رجیستر میکند. با یک بار انجام این کار، این بدافزار منتظر میماند و سپس بنا بر فرمانهای ارسالشده از سرور C&C، بوسیلهی FCM عملیات را اجرا خواهد کرد».
این تروجان علاوه بر قابلیتهای سرقت اطلاعات همچنین میتواند اطلاعات محرمانهی اضافی را نیز از طریق حملهی فیشینگ جمعآوری کند. MobSTSPY پاپآپهای تقلبی فیسبوک و گوگل نشان میدهد که هر یک از کاربران درخواست اطلاعات اکانت دارند. اگر اطلاعات درخواستشده از سوی کاربر داده شود، پیامی تحت عنوان "لاگین ناموفق" ارسال خواهد شد که کاربران مشکوک نشوند.
پروندهی تروجان MobSTSPY نشان میدهد به رغم رواج و سودمندی اپها، کاربران همچنان میبایست هنگام دانلود کردن آنها روی دستگاههایشان جوانب احتیاط را در نظر بگیرند. محققین در ادامه نوشتند: «محوبیت اپها نوعی محرک برای مجرمان سایبری است. آنها از همین محبوبیت اپها انگیزه میگیرند تا کمپینهای سرقت اطلاعات بیشتری راه بیاندازند و راهبردهای حملهی بیشتری بسازند».
بدافزاری برای گوگلپلی
بدافزارهایی که قصدشان گوگلپلی است خیلی نادرند. با این حال این اولین باری نیست که بدافزاری، فیلترها و سیاستهای گوگلپلی را مورد هدف قرار میدهد. در ماه نوامبر، اپی اندرویدی به نام Simple Call recorder از دسترس خارج شد (بعد از آنکه به مدت تقریباً یک سال برای دانلود در دسترس کاربران بود). هدف اصلی این بدافزار، مجاب کردن کاربر برای نصب یک اپ یدک بود که وانمود میکرد آپدیتی برای Adobe Flash Player است. همچنین اوایل سال گذشته، گوگل 22 آگهیافزار مخرب را که خود را به شکل اپهایی قانونی درآورده بودند حذف کرد (از اپهای چراغقوه گرفته تا ضبطکنندههای تماس و بوستر سیگنال وایفای که سر جمع از بازار گوگلپلی 7.5 میلیون بار دانلود شده بودند).
گوگل در سال 2017، (به دلیل نقض خطمشیهای بازار) هفتصد هزار اپ را از گوگلپلی بوت کرد. با این حال همهی این اپها هم بدافزار نبودند- اکثر آنها عامدانه از اپی محبوب کپیبرداری نموده و در آنها محتواهایی نامناسب میگذاشتند.
مشکل اصلی اینجاست که وقتی اپهای مخرب حذف میشوند، افرادی که از قبل آنها را روی اسمارتفونهای خود دارند از این موضوع مطلع نمیشوند؛ بنابراین، این احتمال وجود دارد که میلیونها کاربر هنوز هم کلی بدافزار نصبشده روی دستگاه خود داشته باشند. طی تحقیقات Pradeo Lab در نوامبر 2018 نشان داده شد که 89 درصد اپهای مخرب که از فروشگاهها برداشته شده بودند همچنان روی دستگاههای شخصی کاربران نصب وجود داشتند (حتی شش ماه بعد از حذف این اپها در فروشگاهها).
[1] command-and-control
[2] Firebase Cloud Messaging
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
