روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛آیا شما هم جزء کسانی هستید که به گوگل پلی به عنوان یک فروشگاه امن اعتماد می کنید؟ اگر تصور شما بر این است که در زمان دانلود برنامه ها همه چیز به خوبی پیش می رود و امنیت شما برقرار است، بهتر است کمی بیشتر احتیاط کنید.
به تازگی یک هکر کاملا حرفه ای توانسته است بیش از هزاران اپلیکیشن مخرب را به برنامه های شخص ثالث و فروشگاه پرطرفدار گوگل پلی بیافزاید. این برنامه های مخرب به گونه ای هستند که می توانند تقریبا بر تمام فعالیت های کاربر نظارت داشته باشند و آن ها را مشاهده کنند. این نظارت ها شامل ذخیره تماسها و برقراری تماس بدون اطلاع کاربران نیز میشود.
محققان امنیتی Lookout بیش از یک هزار اپلیکیشن جاسوسی را کشف کردند. آن ها بر این باور هستند این نرم افزارهای مخرب به عراق مرتبط می شوند. این بدافزار که به خانواده ی "SonicSpy" متعلق است از ماه فوریه 2017 از چندین راه مختلف وارد گوگل پلی شده است. این برنامه از طریق جا زدن خود بهعنوان یک برنامه پیامرسان و پیشنهاد برقراری سرویس پیامرسانی گسترده میشده است. گوگل پس از گزارش برنامه های شناسایی شده توسط محققان امنیتی، سریعا آن ها را از فروشگاه حذف نمود.
نحوه ی عملکرد جاسوس افزارها به چه شکل است؟
یکی از برنامه های پیام رسان آلوده شده توسط SonicSpy که از طریق فروشگاه Google Play منتشر شده بود، بهعنوان یک ابزار ارتباطی به نام Soniac شناخته میشود. اما نباید از عملکردهای SonicSpy به راحتی گذشت، این جاسوس افزار می تواند عملکردهای مخربی را بر روی سیستم کاربر داشته باشد. جاسوسی افزارهای SonicSpy می توانند در آنِ واحد فعالیت های مخربی را مثل ضبط کردن مکالمات و صداهای ضبط شده از طریق میکروفن به صورت مخفیانه، به اختیار گرفتن دوربین تلفن و عکس های مربوط به اسنپ، برقراری تماس با مخاطبین صاحب تلفن بدون اجازه ی او، فرستادن مسیج به لیستی که توسط مجرم انتخاب شده را داشته باشند.
جاسوس افزارها علاوه بر دسترسی هایی که ذکر شد می توانند اطلاعات کاربر را همچون تاریخچه ی تماس ها، اطلاعات مخاطبان و اطلاعات مربوط به دستگاه های وای فایی که دستگاه آلوده قبلا به آن ها متصل شده است را به سرقت برند و توسط آن به راحتی می توانند کاربر را ردیابی و برای اهداف جاسوسی از آن ها استفاده کنند.
این تهدیدات توسط محققان امنیتی Lookout کشف شدند. محققان در تحقیقات خود سه نوع مختلف از برنامه های پیام رسان آلودهشده توسط SonicSpy را در فروشگاه رسمی Google Play یافتند که هزاران بار از فروشگاه گوگل پلی دانلود شدهاند.
همانطور که در بالا به آن اشاره کردیم این جاسوس افزارها توسط محققان امنیتی شناسایی شدند که این برنامه ها شامل Soniac، Hulk Messenger و Troy Chat بودند و توسعه دهندگان آن ها را حذف کردند اما متاسفانه این برنامه ها همچنان به طور گسترده در فروشگاه های شخص ثالث و به همراه دیگر برنامههای آلودهشده توسط SonicSpy وجود دارند.
عراق با جاسوس افزار SonicSpy چه ارتباطی دارد؟
علت ارتباط دادن این بدافزار با عراق به دلیل شباهت بین SonicSpy و SpyNote است. SpyNote گونه ای دیگر از نرمافزارهای مخرب اندرویدی است که در سال گذشته شناسایی شد و بهعنوان یک برنامهNetflix شناختهشده بود و گفته میشود توسط یک هکر عراقی نوشته شده است. محققان اعلام کرده اند که دلایل زیادی وجود دارد که نشان می دهد یک نفر پشت این دو بدافزار وجود دارد و آن ها را به راه انداخته است، به طور مثال، شباهت در کدهای این دو گونه از نرم افزارها، استفاده از کدهای DNS پویا و اجرای آن بر روی پورت های غیر استاندارد 2222 نشان می دهد که یک هکر دست به این دو حمله زده است.
در عین حال مهمترین نشانه ای که محققان را از یکی بودن شخص پشت این حمله مطمئن می سازد نام اکانت سازنده ی SonicSpy است که برای هر دو iraqiwebservice بوده است و این اکانت بر روی فروشگاه گوگل پلی ثبت شده است.
عملکرد جاسوس افزار Sonic چگونه است؟
زمانی که این اپلیکیشن بر روی دستگاه قربانی نصب می شود، Soniac آیکون خود را از روی دستگاه کاربر آلوده شده پاک می کند تا که شخص نتواند آن را مشاهده کند و از دید آن پنهان بماند و سپس به سرور command and control به منظور تلاش برای نصب یک برنامه تلگرام دستکاری شده، اتصال برقرار می کند.
در هر صورت این اپلیکیشن شامل نرم افزارهای مخربی است که به مجرم این امکان را می دهد که اداره ی جدید دستگاه را به دست بگیرد و اطلاعات زیادی را به منظور جاسوسی به سرقت ببرد. در حال حاضر این اپلیکیشن ها بین 1000 تا 5000 بار دانلود شده و توانسته هزاران کاربر را آلوده کند.
امکان قرار گیری مجدد جاسوس افزارSonic بر روی گوگل پلی وجود دارد
با وجود اینکه توسعه دهندگان فروشگاه گوگل پلی برنامه های مخرب را از فروشگاه حذف کرده اند اما با این حال هشدار داده اند که Sonic می تواند مجدد از راه های دیگر وارد شود و از هر ترفندی برای نفوذ استفاده کند.
همانطور که در ماه گذشته مقاله ی مربوط به آن را منتشر کردیم، بدافزار Xavier توانسته بود در بیش از 800 برنامه ی اندرویدی پنهان شود و میلیون ها بار ازفروشگاه گوگل پلی دانلود شود.اما امروزه مقالات امنیتی بسیاری در مورد نا امن بودن اپلیکیشن های گوگل پلی منتشر می شود.
چه راهی برای در امان ماندن مقابل این بدافزارها وجود دارد؟
- ساده ترین راه برای مقابله با چنین بدافزارهایی که در پشت اپلیکیشن ها پنهان می شوند این است که همیشه به گوش باشید و از دانلود اپلیکیشن هایی که آن ها را نمی شناسید خودداری کنید و البته سعی کنید برنامه های برندهای معتبر را دانلود کنید.
- نظرات کاربرانی که قبلا برنامه ها را دانلود کرده اند را حتما بخوانید و البته به امتیازات داده شده توسط آن ها هم توجه کنید.
- هرگز برنامه های خود را از منابع شخص ثالث دانلود نکنید. بیشتر کاربرانی که آلوده شدهاند این بدافزار را از منابع شخص ثالث دانلود کرده بودند.
- به شما اکیدا توصیه می کنیم که از یک راهکار امنیتی مناسب و البته قابل اعتماد برای دستگاه های خود استفاده کنید. اینترنت سکیوریتی کسپرسکی برای اندروید چنین بدافزارهایی را در فروشگاه های مختلف شناسایی و فعالیت آن ها را مسدود خواهد کرد. فراموش نکنید که نرم افزار امنیتی خود را همیشه به روز نگه دارید تا بتواند از دستگاه های شما محافظت کند.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
