روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ محققین کسپرسکی بتازگی بدافزاری را در اپ اندرویدیِ CamScanner پیدا کردهاند؛ یک پیدیافسازِ موبایلی که شامل OCR (نویسهخوان نوری) شده و تا کنون در فروشگاه گوگلپلی بیش از 100 میلیون بار دانلودش کردهاند. فروشگاههای رسمی عرضهی اپ مانند گوگلپلی معمولاً مطمئنترین جاها برای دانلود نرمافزار به حساب میآیند اما متأسفانه هیچچیز 100% قابلاطمینان نیست. هر چند وقت یک بار توزیعکنندگان بدافزار تصمیم میگیرند راه خود را فروشگاههایی چون گوگلپلی باز کنند. مشکل اینجاست که حتی گوگل که شرکت قدرتمندی است نمیتواند کل این چندین میلیون اپ را مورد بررسی و تحلیل قرار دهد. به یاد داشته باشید که بیشترِ این اپها مرتباً آپدیت میشوند و متعاقباً سطح نظارتی در گوگلپلی کمرنگتر.
CamScanner در واقع یک اپ قانونی بود که هیچ قصد مخربی هم نداشت (البته تا مدتی). برای کسب درآمدش هم از تبلیغات استفاده میکرد و حتی خریدهای درون اپی هم برای کاربرانش تدارک دیده بود. با این حال، در یک مقطع زمانی سناریو تغییر کرد و نسخههای اخیر این اپ حاوی آرشیو تبلیغاتی شد که در خود، ماژول مخرب داشت.
محصولات کسپرسکی این ماژول را به عنوان Trojan-Dropper.AndroidOS.Necro.n شناسایی میکنند که البته در برخی اپهایی که از پیش روی اسمارتفونهای چینی نصب شده بودند نیز چنین تروجانی را شاهد بودیم. همانطور که از نامش پیداست، این ماژول یک تروجان دراپر[1] است؛ بدینمعنا که ماژول مخرب دیگری را از فایل رمزگذاریشده (موجود در منابع اپ) استخراج و اجرا میکند. این بدافزارِ «دراپشده» در عوض یک تروجان دانلودر[2] است که بسته به اینکه سازندگانش در لحظه چه نیتی دارند ماژولهای آلودهی بیشتری را دانلود میکند.
برای مثال، اپی با چنین کد آلودهای شاید آگهیهای تبلیغاتی بسیار آزاردهنده نشان دهد و کاربران را برای عضویتهای پولی ثبتنام کند.
برخی کاربران اپ CamScanner تا همین الانش هم متوجه برخی رفتارهای مشکوک از آن شده لودند و در صفحهی گوگلپلی این اپ نظراتی هم در این باره دادند؛ حتی هشدار هم دادند کسان دیگر از این اپ استفاده نکنند.
محققین کسپرسکی نسخهی جدیدی از این اپ را بررسی کردند و درست در طی همین بررسی بود که آن ماژول مخرب را پیدا کردند. ما یافتههای خود را به گوگل گزارش دادیم و اپ هم در جا از گوگلپلی برداشته شد. ظاهراً توسعهدهندگان اپ از شر این کد مخرب خلاص شدند (با به روز کردن این اپ). با این حال به یاد داشته باشید که نسخههای این اپ به ازای هر دستگاه مختلفی، متفاوت است و برخی از آنها شاید هنوز در خود کد مخرب داشته باشند.
آنچه در داستان امروز آموختیم این است که هر اپی –حتی اگر از فروشگاهی رسمی عرضه شده باشد و اسم و رسمدار هم باشد و حتی اگر میلیونها نظر مثبت هم گرفته باشد- میتواند یکشبه تبدیل به بدافزار شود. هر اپی تنها یک آپدیت با تغییری ناگهانی فاصله دارد. برای اینکه مطمئن شوید هیچوقت قربانی چنین مسائلی نمیشوید پیشنهاد میدهیم از آنتیویروس مطمئنی برای اپهای اندرویدی استفاده کرده و همچنین اسمارتفون خود را هر چند وقت یکبار اسکن کنید (نسخهی پولی کسپرسکی اینترنت سکیوریتی برای اندروید به طور خودکار اسکن را انجام خواهد داد).
[1] Trojan Dropper
[2] Trojan Downloader
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.