روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ ما اینجا در Kaspersky Daily مدام از خوانندگان میخواهیم تا موقع دانلود محتوا در دستگاههایشان نهایت دقت را به خرج دهند. از اینها گذشته حتی گوگلپلی هم از شر بدافزارها در امان نیست چه برسد به منابع غیررسمی با مودها و نسخههای هکشده. مادامیکه جهان دیجیتال پای برجاست، تروجانها راه خود را به دستگاههایی که لایه محافظتی ندارند پیدا خواهند کرد. امروز قرار است قصه آلوده شدن 11 میلیون کاربر اندروید در سراسر جهان را توسط تروجانی به نام Necro تعریف کنیم. همچنین راهکارهای امنیتی نیز خدمتتان ارائه خواهیم داد.
Necro چیست؟
خوانندگان همیشگی ما احتمالاً خاطرشان هست که سال 2019 برای اولین بار از نکرو گفتیم. آن زمان، متخصصین ما تروجانی را در اپ شناسایی متن به نام CamScanner کشف کردند که بیش از 100 میلیون بار روی گوگلپلی دانلود شده بود. اکنون دستان پشت پرده نکرو آتش دیگری بر تن این تروجان پیر دمیده: دریافتیم که نسخه جدیدتر هم در اپهای محبوب روی گوگلپلی هست و هم در مودهای مختلف اپ روی سایتهای غیررسمی. به احتمال زیاد، توسعهدهندگان این اپها از ابزار تجمیع آگهی تأییدنشدهای استفاده کردند که از طریق آن، نکرو در کد تزریق شده. Necro امروزی لودری است که برای جلوگیری از شناسایی شدن مبهمسازی شده (اما نه که ما هم نتوانیم پیدایش کنیم!). نکرو پیلود مخرب را با روش پنهاننگاری[1] برای مخفی کردن کد خود در تصویری به ظاهر بی گناه دانلود میکند. و ماژولهای مخرب دانلودشده توانایی این را دارند که هر فایل DEX را لود و اجرا کنند (کد کامپایلشده نوشتهشده برای اندروید)، اپهای دانلودشده را نصب، داخل دستگاه قربانی تونل شده و حتی (بالقوه) عضویتهای پولی را حذف نمایند. افزون بر این، آنها میتوانند در پنجرههای نامرئی با آگهیها ارتباط گرفته و آنها را نمایش دهند، لینکهای دلخواه باز کده و هر کد جاوااسکریپتی را اجرا کنند. ما در سکیورلیست از نکرو به طور جزئیتری گفتهایم. پیشنهاد میکنیم آن را از دست ندهید.
Necro چه چیزی را پنهان میکند؟
ما رد و اثرهایی از این بدافزار را در نسخه مد کاربری اسپاتیفای، در اپ ویرایش عکس Wuta Camera ،در مرورگر Max و مودهای واتساپ و گیمهای محبوب (از جمله ماینکرفت) دیدیم.
مود اسپاتیفای
در شروع تحقیقمان، چشممان به مود نامعمولی از اپ اسپاتیفای پلاس خورد. کاربران دعوت شده بودند به دانلود نسخه جدیدی از اپ مورد علاقهشان از منبعی غیررسمی- رایگان و با آفر عضویت آنلاکشده نامحدود هم به صورت آنلاین و هم آفلاین. دکمه سبزرنگ زیبای Download Spotify MOD APK به نظر وسوسهانگیز میآید مگر نه؟ نکنید! این یک بدافزار است رفقا. اصلاً به گارانتیهای Security Verified یا Official Certification توجه نکنید، این برنامه ویرانگر خواهید بود. هنگامی که این برنامه راهاندازی شد، تروجان اطلاعات مربوط به دستگاه آلوده را به سرور C2 مهاجمین ارسال کرده و در پاسخ یک لینک برای دانلود یک تصویر PNG دریافت نمود. محموله مخرب با استفاده از steganography در تصویر پنهان شد.
در اپهای روی گوگلپلی
در حالی که مد Spotify از طریق کانالهای غیررسمی توزیع میشد، دوربین Wuta آلوده به نکرو راه خود را به Google Play پیدا کرد، جایی که برنامه بیش از 10 میلیون بار از آنجا دانلود شده بود. طبق اطلاعات ما، Necro loader به نسخه 6.3.2.148 Wuta Camera با نسخههای تمیز از 6.3.7.138 شروع شده است. بنابراین، اگر نسخه شما کمتر از آن است، باید فوراٌ آپدیت کنید. مخاطبان مرورگر Max بسیار کمتر است - فقط یک میلیون کاربر. Necro به کد برنامه خود در نسخه 1.2.0 نفوذ کرد. این برنامه به دنبال اعلان ما از Google Play حذف شد، اما همچنان در منابع طرفسوم در دسترس است. البته باید به این موارد کمتر اعتماد کرد، زیرا امکان دارد نسخههای تروجانزده مرورگر همچنان در آنجا زندگی کنند.
در مودهای واتساپ، ماینکرفت و سایر اپهای محبوب
کلاینتهای مسنجر جایگزین معمولاً از عموزادگان رسمی خود ویژگیهای اصطلاحاً خفنتری دارند اما باید با همه مودها خواه در گوگلپلی باشند و خواه در سایت طرفسوم یکچشمی برخورد کرد چون اغلب همراه با تروجان هستند. برای مثال ما مودهایی را برای واتساپ با لودر Necro پیدا کردیم که از منابع غیررسمی داشت توزیع میشد و نیز مودهایی دیدیم از ماینکرفت، استامبل گایز، مولتیپلیر کار پارکینک و سندباکس ملون. و این مجموعه رندوم نیست؛ مهاجمین همیشه محبوبترین اپها و گیمها را هدف قرار میدهند.
راهکارهای امنیتی
اول از همه، قویاً توصیه میکنیم اپها را از منابع غیررسمی به دلیل ریسک بالای آلودگی دستگاه، دانلود نکنید. دوم اینکه با اپهای روی گوگلپلی و سایر پلتفرمهای رسمی هم باید با شک برخورد کرد. حتی اپ محبوب هم مانند Wuta Camera با 10 میلیون دانلود میتواند در مواجهه با Necro قدرت خود را از دست بدهد.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
[1]هنر و علم برقراری ارتباط پنهانی است و هدف آن پنهان کردن ارتباط به وسیله قرار دادن پیام در یک رسانه پوششی است به گونهای که کمترین تغییر قابل کشف را در آن ایجاد نماید و نتوان موجودیت پیام پنهان در رسانه را حتی به صورت احتمالی آشکار ساخت.
