روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین بدافزار اندرویدیِ سارق داده‌ای را به نام Sharkbot یافته‌اند که در اعماق سرویس گوگل‌پلی با پوشش راهکارهای آنتی‌ویروس (AV) کمین کرده است. در ادامه با ما همراه باشید تا ویژگی‌ها و نحوه عملکرد این بدافزار را مورد بررسی قرار دهیم.

تیم CPR[1]  حین تحلیل اپ‌های مشکوک روی این فروشگاه چیزی را یافت که تظاهر می‌کرد راهکار آنتی‌ویروس واقعی است اما در باطن مشغول دانلود و نصب بدافزار بود؛ بدافزاری سارق اطلاعات و داده‌های بانکی از دستگاه‌های اندرویدی. شارک‌بات ویژگی‌های منحصر به فرد دیگری نیز دارد که قرار است بدان‌ها بپردازیم.

رامان لادوتسکا و الکس شامسور، محققین تیم CPR در گزارشی چنین نوشتند، «Sharkbot قربانیان را فریب می‌دهد تا اطلاعات محرمانه خود را در ویندوزی وارد کنند که تقلیدی است از فرم‌های ورودی اطلاعات. وقتی کاربر اطلاعات را در چنین ویندوزهایی وارد می‌کند، داده‌های دستکاری‌شده مستقیم برای سرور مخرب ارسال می‌شود». محققین 6 اپ مختلف را شامل Atom Clean-Booster،Antivirus، Antvirus Super Cleaner و Center Security-Antivirus پیدا کردند که داشتند شارک‌بات را توزیع می‌کردند. این اپ‌ها برای سه اکانت توسعه‌دهنده‌ی Zbynek Adamcik، Adelmio Pagnotto و Bingo Like Inc. بودند که دست‌کم دو تای آن‌ها از پاییز سال گذشته فعال بودند. زمانبندی درست و منطقی به نظر می‌رسد زیرا Sharkbot ابتدا در ماه نوامبر روی اسکرین‌های رادار محققین پدیدار شد.

محققین در ادامه اینطور نوشتند، «برخی از اپ‌های مرتبط با این اکانت‌ها از گوگل‌پل برداشته شدند اما هنوز هم در بازارهای غیررسمی وجود دارند. این یعنی عامل پشت این اپ‌ها در تلاش است همچنان که در این فعالیت مخرب شرکت دارد خود را مخفی نگه دارد». گوگل اپ‌های مخرب را حذف کرده است اما قبل آن این اپ‌ها حدود 15 هزار بار دانلود و نصب شدند. تارگت‌های اصلی شارک‌بات کاربران انگلستان و ایتالیا بودند.

ابعاد منحصر به فرد

محققین CPR زیر و بم شارک‌بات را بررسی کردند و نه تنها در آن تاکتیک‌های معمول سرقت داده را پیدا کردند که همچنین به مشخصه‌های ویژه‌ای رسیدند که آن را از سایر بدافزارهای اندرویدی متمایز می‌سازد. نمونه‌اش قابلیت ژئوفنسینگ[2] که بر اساس مناطق جغرافیایی کاربران را انتخاب می‌کند و بعنوان مثال از خیر کاربران چین، هند، رومانیا، روسیه، اوکراین یا بلاروس می‌گذرد. Sharkbot همچنین دارای تکنیک‌های بسیار هوشمندانه است. اگر این بدافزار تشخیص دهد که دارد در یک سندباکس اجرا می‌شود عملکرد خود را متوقف ساخته و آنجا را ترک می‌کند. مشخصه ویژه دیگرش این است که از الگوریتم تولید دامنه[3] استفاده می‌کند؛ بُعدی که بدافزارهای پلت‌فرم اندروید به ندرت از آن استفاده می‌کنند.

به نقل از محققین، «با DGA یک نمونه با سید هاردکدشده هر هفته می‌تواند 7 دامنه را تولید کند؛ از جمله همه سیدها و الگوریتم‌هایی که مشاهده نمودیم». محققین 27 نسخه شارک‌بات در تحقیق خود کشف کردند که عمده تفاوت بین این نسخه‌ها سیدهای DGA و نیز بات‌نت‌آی‌دی مختلف بود (همینطور فیلدهای ownerID). به طور کلی، Sharkbot 22 فرمان را که اجازه اجرای اقدامات مخرب مختلف را روی دستگاه اندرویدی کاربر می‌دهد پیاده‌سازی می‌کند. از جمله: درخواست مجوز برای ارسال پیامک؛ حذف نصب برنامه‌های داده شده؛ ارسال لیست مخاطبین دستگاه به سرور؛ غیرفعال کردن بهینه‌سازی باتری تا Sharkbot بتواند در پس زمینه اجرا شود. و تقلید سوایپ کاربر روی صفحه.

جدول زمانی فعالیت

محققین ابتدا چهار برنامه Sharkbot Dropper را در Google Play در 25 فوریه کشف کردند و اندکی پس از آن یافته‌های خود را در 3 مارس به گوگل گزارش دادند. گوگل اپ‌ها را در 9 مارس حذف کرد اما شش روز بعد، در 15 مارس، یک Sharkbot dropper دیگر کشف شد.

CPR گزارش داد که سومین دراپر بلافاصله کشف شده و سپس دو دراپر دیگر Sharkbot را در 22 مارس و 27 مارس پیدا کرد که آنها نیز به سرعت برای حذف به گوگل گزارش داده شدند. دراپری که توسط آن Sharkbot به خودی خود پخش می شود باید باعث نگرانی شود. محققین در این گزارش نوشتند، «دراپرهایی که شارک‌بات توسط آن‌ها توزیع می‌شود خود باعث نگرانی‌اند. اینطور که از عملکرد دراپرها استنباط شده، امکان دارد جدای دراپ کردن بدافزار خودشان به تنهایی نیز تهدید به حساب بیایند».  به طور خاص، محققین متوجه شدند که دراپر Sharkbot خود را بعنوان برنامه‌های کاربردی زیر در Google Play جا زده بود:

• com.abbondioendrizzi.tools[.]supercleaner
• com.abbondioendrizzi.antivirus.supercleaner
• com.pagnotto28.sellsourcecode.alpha
• com.pagnotto28.sellsourcecode.supercleaner
• com.antivirus.centersecurity.freeforall
• com.centersecurity.android.cleaner

محققین خاطرنشان کردند که دراپرها چند تاکتیک ویژه فرار دارند، مانند شناسایی شبیه سا‌زها و ترک کردن آنها در صورت یافتن. آنها همچنین می‌توانند تمام رویدادهای رابط کاربری دستگاه را بررسی کرده و روی آنها عمل کنند و همچنین نوتیفیکیشن‌های ارسال شده توسط سایر برنامه‌ها را جایگزین کنند.

«علاوه بر این، آنها می‌توانند یک APK دانلود شده از CnC را نصب کنند، که نقطه شروع مناسبی برای انتشار بدافزار به محض نصب چنین برنامه‌ای روی دستگاه توسط کاربر فراهم می‌کند».

چالش‌های گوگل

گوگل مدت‌هاست که با تداوم برنامه‌های مخرب و بدافزارها در فروشگاه برنامه اندروید خود دست و پنجه نرم می‌کند و تلاش‌های قابل توجهی برای پاکسازی عمل خود انجام داده است. با این حال، به نقل از یکی از متخصص امنیتی، ظهور Sharkbot در قالب راهکار AV نشان می‌دهد که مهاجمان در نحوه مخفی کردن فعالیت‌های مخرب خود در این پلتفرم سفت و سخت‌تر شده‌اند و این می‌تواند موجب سلب اعتماد کاربران Google Play شود.

کریس کلمنتز، معاون معماری راهکارها در شرکت امنیتی Cerberus Sentinel، در ایمیلی به Threatpost اینطور نوشت، «برنامه‌های بدافزاری که عملکرد مخرب خود را با تأخیر زمانی، مبهم‌سازی کد و تهدید جغرافیایی پنهان می‌کنند، می‌توانند در طول فرآیند بررسی برنامه‌ها چالش‌برانگیز باشند، اما در کمین بودنشان در فروشگاه‌های برنامه‌های رسمی واقعاً به اعتماد کاربران به ایمنی همه برنامه‌ها آسیب می‌زند».

با توجه به اینکه اسمارت‌فون محوریت زندگی دیجیتالی افراد است و کانون فعالیت های مالی، شخصی و کاری را شکل می‌دهد، «هر بدافزاری که امنیت چنین دستگاه مرکزی را به خطر بیندازد، می‌تواند صدمات مالی یا اعتباری قابل توجهی وارد کند».  یکی دیگر از متخصصین امنیتی از کاربران اندرویدی خواست تا هنگام تصمیم گیری در مورد دانلود یا عدم دانلود یک برنامه تلفن همراه از فروشگاه فروشنده معتبر، احتیاط کنند، حتی اگر یک برند مورد اعتماد باشد. جیمز مک‌کویگان، مدافع آگاهی امنیت در KnowBe4، اظهار داشت، «هنگام نصب برنامه‌ها از فروشگاه‌های فناوری مختلف، بهتر است قبل از دانلود آن برنامه را بررسی کنید. مجرمان سایبری دوست دارند کاربران را فریب دهند تا برنامه‌های مخرب با قابلیت‌های مخفی نصب کنند و بتوانند داده‌ها را سرقت یا اکانت‌ها را تصاحب کنند.

[1] Check Point Research

[2]  geofencing

[3] Domain Generation Algorithm (DGA)

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.