محققان ESET، کشف کرده اند CepKutusu.com، که یک فروشگاه اندرویدی ترکیه ای متفرقه است، اقدام به گسترش بدافزارها به همراه اپلیکیشن های اندرویدی ارائه شده در وبسایت خود نموده است.
هنگامی که کاربران به این وبسایت مراجعه می کنند و اقدام به دانلود یک اپلیکیشن با استفاده از دکمه “Downlaod now” می کنند، به جای اپلیکشن مورد نظر به بانک نرم افزارهای مخرب هدایت می شوند.
چند هفته بعد از کشف حمله توسط محققان ESET و اعلام آن به اپراتور فروشگاه، فعالیت های مخرب فروشگاه متوقف شد.
جالب است که محققان ESET، این تغییر مسیر به بانک بدافزارهای مخرب را از طریق یک اپلیکیشن کاملا قانونی کشف کردند( به این معنی که هر برنامه طوری تنظیم شده بود که با یک بانک بدافزاری جایگزین شود)، بدافزار مخرب که توسط فروشگاه توزیع می شد، بانک بدافزاری با قابلیت کنترل از راه دور است که می تواند ارسال و دریافت پیام کوتاه را متوقف کند، فعالیت های تقلبی ای مثل دانلود و نصب سایر اپلیکیشن ها را نمایش دهد.
پس از نصب، بدافزار بجای تقلید از برنامه ای که کاربر قصد نصب آن را داشته، از فلش پلیر تقلید می کند.
برای کسب اطلاعات بیشتر در مورد این حمله با یکی از محققان ESET صحبت شده که متخصص نرم افزارهای مخرب اندرویدی و کسی است که این فروشگاه اپلیکیشن توزیع بدافزار را شناسایی کرد :
یک فروشگاه خدمت رسانی اپلیکیشن با بدافزارهایی در حجم انبوه یک تهدید بزرگ بنظر می رسد. از طرف دیگر اجرای فلش پلیر بجای آنچه کاربر می خواهد یک پوشش بسیار ظریف است. برداشت شما در این مورد چیست ؟
اول، اجازه بدهید تا اشاره کنم این اولین بار است که آلوده شدن کامل فروشگاه اندوریدی مثل این مشاهده شده است. در محیط های ویندوزی و مرورگرها این حمله شناخته و قبلا به کار گرفته شده است، اما در محیط اندرویدی این اولین بار است که چنین حمله ای رخ می دهد.
در مورد شدت آن، احتمالا این مورد خاصی که ما مشاهده کردیم یک آزمایش بوده است و مجرمان برای کنترل فروشگاه، روش ساده ای را بکار گرفتند.
جایگزینی لینک همه اپلیکیشن ها با فقط یک لینک بدافزار، نیاز به تلاش خاصی ندارد و به کاربران فروشگاه فرصت نسبتا خوبی برای شناسایی کلاهبرداری می دهد.
اگر شما نرم افزاری را دانلود و نصب کردید ولی بجای آن فلش پلیر اجرا شد … سریعا آن را حذف کنید و موضوع را گزارش دهید.
در ادامه بررسی می کنیم که چرا فقط تعداد کمی مورد آلودگی داشتیم؟
همانطور که گفته شد احتمالا این یک حمله آزمایشی بوده است. می توان تصور کرد که مجرمی فروشگاه را کنترل می کند و قابلیت های مخربی را به هر یک از اپلیکیشن های فروشگاه اضافه می کند.
خدمت رسانی به کسانی که به یک بازی خاص و مشهور علاقمند هستند با استفاده از نسخه آلوده شده آن، تعداد قربانیان آن را طور قابل توجهی افزایش خواهد داد.
در ارتباط با این حمله، ردیابی ای انجام شده است ؟
برای این حمله سه سناریوی مختلف می توان تعریف کرد : فروشگاه با هدف انتشار نرم افزارهای مخرب ایجاد شده است. فروشگاه اپلیکیشن معتبر توسط کارمندی عمدا با بدافزارهای مخرب آلوده شده است و یا فروشگاه اپلیکیشن قربانی مهاجمان از راه دور شده است.
برای سناریوهای دوم و سوم تصور می کنیم هیچ فروشگاه معتبری چنین حمله ای را نادیده نخواهد گرفت. شکایت های کاربران، لاگ های مشکوک سرور و تغییرات در کدها، نشانه های کافی برای اپراتورهای فروشگاه هستند، به خصوص اگر برای دوره ی طولانی ای اتفاق بیفتند. همچنین جالب است که با اپراتورهای فروشگاه تماس گرفتیم و گزارش دادیم ولی هیچ واکنشی دریافت نکردیم.
چطور از خود در برابر این بدافزارها حفاظت کنیم ؟
- تا حد امکان، نرم افزارهای مورد نیاز خود را از فروشگاههای رسمی دریافت کنید، این نکته را تکرار می کنیم به این دلیل که، هیچ تضمینی برای میزان امنیت در فروشگاههای فرعی وجود ندارد و بنابراین جای مناسبی برای گسترش بدافزارها خواهد بود نه فقط از طریق اپلیکیشن های مخرب بلکه مثل این حمله می تواند در مقیاس بزرگتری باشد.
- در هنگام دانلود محتوا از اینترنت محتاط عمل کنید، در موارد مشکوک به نام، پسوند و اندازه فایل توجه کنید. در این شرایط بسیاری از تهدیدات قابل شناسایی و جلوگیری خواهند بود.
- از یک راه حل امنیتی معتبر برای حفاظت از دستگاه اندوریدی خود استفاده نمایید. این تهدید مخفی در فروشگاه نرم افزاری فرعی CepKutusu.com را ESET با عنوان Android/Spy.Banker.IE شناسایی نموده است و از دانلود آن جلوگیری می کند.
منبع : https://www.welivesecurity.com