روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛فروشگاه گوگل پلی به تازگی 50 اپلیکیشن را که بدافزار " ExpensiveWall" به آن ها نفوذ کرده است را از فروشگاه خود حذف نموده است. به گفته ی محققان امنیتی Check Point ، این بدافزار که بین 1 میلیون تا 4.2 میلیون بار دانلود شده است، در هنگام نصب مانند دیگر نرم افزارها، اجازه هایی مانند دسترسی به اینترنت و SMS را از کاربر دریافت می کند که برای عضو کردن صاحب تلفن در سرویس های هزینه بر مانند خدمات پیامکی پولی مورد استفاده قرار می گیرد.
محققان گفته اند که این بدافزار به طور عمده با اپلیکیشنی برای تصویر بک گراند یا همان پس زمینه با نام Lovely Wallpaper همراه شده است.
محققین امنیتی در وبلاگی در روز پنچشنبه نوشتند: "ExpensiveWall نوع جدیدی از بدافزارها است که اوایل امسال در فروشگاه گوگل پلی قرار گرفت. کل خانواده های این بدافزار بین 5.9 میلیون تا 21.1 میلیون دفعه دانلود شده اند".
گونه ی این بدافزار با دیگر هم نژاد هایش به دلیل استفاده از تکنیک های پیچیده که "packed" نامیده می شوند، متفاوت است. این بدافزار به منظور جلوگیری از شناسایی شدن، برنامه های مخرب را فشرده و آن ها را رمزنگاری می کند.
گوگل از وجود این بدافزار در هفتم ماه آگوست خبردار شد و فورا آن ها را از فروشگاه حذف کرد. به گفته ی محققان چندی پس از حذف اپلیکیشن های حاوی بدافزار، ExpensiveWall در یک اپلیکیشن ناشناس دیگر در گوگل پلی ظاهر شد.
Check Point همچنین گفت: قبل از حذف اپلیکیشن های مخرب در گوگل پلی حدود 5000 دستگاه دچار آلودگی شدند.
در حالی که تعداد اپلیکیشن های آلوده شده توسط این بدافزار کم نبوده است اما گوگل پلی تمامی آن ها را حذف و مانع ورود آن ها به دیگر اپلیکیشن ها شد. همه به خوبی می دانیم که بستن راه برای بدافزارها کاری غیر ممکن است، به قول معروف در را بر روی آن ها ببندی از دیوار بالا خواهند آمد. همانطور که قبلا مقاله ی آن را منتشر ساختیم یکی دیگر از جاسوس افزارهای اندروید که sonicspy نامیده شد، ماه گذشته از فروشگاه محبوب گوگل پلی حذف شد. همچنین در ماه می بدافزاری به نام Judy36 میلیون بار از فروشگاه گوگل پلی دانلود و در 40 اپلیکیشن یافت شد. بدافزارهای بسیاری همانند Dvmap, SMSVova, Ztorg بودند که گوگل مجبور شد آن ها را از گوگل پلی حذف کند و مانع آلودگی بیشتر کاربران شوند.
طبق گفته ی محققان، هنوز مشخص نشده است که ExpensiveWall چه مقدار درآمد حاصل از کلاهبرداری خود داشته است. آن ها می گویند این خیلی مهم است که هر اپلیکیشن آلوده ای قبل از اینکه بر روی دستگاه های کاربران نصب شود، از فروشگاه حذف شود و اجازه ی شیوع آن به مجرمان داده نشود. بسیاری از کاربران هستند که این اپلیکیشن ها را دانلود کرده اند و متاسفانه بدافزار در دستگاه آن ها وجود دارد. توصیه می شود به کاربران که فورا چنین برنامه هایی را از دستگاه خود حذف و سریعا از یک ابزار حذف ویروس برای پاکسازی دستگاه خود استفاده کنند.
آن ها می گویند هنگامی که یک دستگاه اپلیکیشنی را که حاوی بدافزار ExpensiveWall است را نصب می کنند، بدافزار چندین مجوز را از جمله دسترسی به اینترنت برای اتصال به سرور C&C و مجوزهای مسیج را برای ثبت نام کاربران به منظور خدمات پرداخت و ارسال مسیج های حقوقی درخواست می کند. محققان بر این باور هستند که ممکن است اپلیکیشن ها اقدامات امنیتی فروشگاه گوگل پلی را دزدیه باشند چرا که مجوزهای مورد نیاز برای این کلاهبرداری کاملا غیر معمول است و بدافزار اپلیکیشن های مشروع را مورد هدف حمله ی خود قرار داده است.
ExpensiveWall شامل یک رابط کاربری است که به عملکردهای درون برنامه و کد جاوا اسکریپت متصل می شود و بر روی یک رابط وب به نام WebView اجرا می شود. این بدان معنی است که جاوا اسکریپت در داخل WebView می تواند فعالیت های اپلیکیشن ها را مختل کند.
پس از نصب و اعطای مجوزها، ExpensiveWall اطلاعات مربوط به دستگاه آلوده را (همانند مکان دستگاه، شناسه های منحصر بفرد مانند MAC ، آدرس آی پی، IMSI و IMEI) را به سرور C&C خود ارسال می کند.
هنگامی که یک کاربر اندروید تلفن هوشمند خود را روشن می کند یا که تنظیمات اتصال را تغییر می دهد، بدافزارها به سرور C&C متصل می شوند و یک URL دریافت می کنند. URL در یک WebView جاسازی شده باز می شود. این صفحه شامل یک کد جاوااسکریپت مخرب است که می تواند با استفاده از رابط جاوااسکریپت توابع درون اپلیکیشن ها را همانند سرویس های هزینه بر و ارسال پیام های SMS، فراخوانی کند.
به منظور جلوگیری از بدافزار ExpensiveWall کافی است که از یک راهکار امنیتی قوی برای دستگاه های اندرویدی خود استفاده کنید. راهکارهای امنیتی هرگونه فعالیت مخربی را در دستگاه شما تشخیص و فورا آن را مسدود می کند. در این مقاله 5 راهی که به شما در این رابطه کمک می کند ذکر شده است.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.