با وجود لایههای امنیتی مختلف در فروشگاه گوگل پلی، گزارش محققان شرکت امنیت سایبری CYFIRMA نشان میدهد که اپلیکیشنهای حاوی بدافزار همچنان در این پلتفرم در حال جولان دادن هستند و نصب کردن تنها یکی از آنها منجر به سرقت تمام اطلاعات حساس قربانیان میشود.
به نظر میرسد که گروه هکر DoNot دوباره فعال شده و این بار با تولید اپلیکیشنهای اندرویدی حاوی بدافزار و انتشار آنها در فروشگاه گوگل پلی، قصد سرقت اطلاعات کاربران و سوءاستفاده از آن را دارد.
محققان یک شرکت امنیت سایبری به نام CYFIRMA، اخیراً چند اپلیکیشن اندرویدی مشکوک که در فروشگاه گوگل پلی توسط حساب SecurITY Industry منتشر شدهاند را تحت بررسی قرار دادهاند.
پس از انجام تجزیه و تحلیل فنی، محققان دریافتند که این اپلیکیشنها حاوی ویژگیهای یک بدافزار جمعآوری و ارسال اطلاعات خاص هستند. با کمال تعجب، عامل تهدید که مدتها قبل تنها در منطقه کشمیر منتشر شده بود، اکنون تمرکز خود را به خاورمیانه معطوف کرده است، اگرچه انگیزه پشت این حملات سایبری همچنان ناشناخته است.
تجزیه و تحلیل این بدافزارها نشان داد که هدف مهاجمان در مرحله اول جمعآوری اطلاعات و سپس استفاده از این اطلاعات برای توسعه بدافزارهای خطرناکتر است.
حتی نرمافزارهای ضد ویروس هم بیفایده هستند
محققان شرکت CYFIRMA به طور خاص سه اپلیکیشن حاوی بدافزار به نامهای Device Basic Plus، nSure Chat و iKHfaa VPN را معرفی کردهاند که در فروشگاه نرمافزار Play Store گوگل در حال جولان دادن هستند.
به گفته محققان، دو اپلیکیشن nSure Chat و iKHfaa VPN به طرز هوشمندانهای کدهای مخرب را پنهان کردهاند، بنابراین نرمافزارهای ضد ویروس قادر به شناسایی آنها نیستند. علاوه بر این، گفته شده که اپلیکیشنهای فوقالذکر از کتابخانه اندروید برای استخراج مخاطبین و موقعیت مکانی قربانیان استفاده میکنند.
نکته جالب آن است که هکرها کدهای پایه اپلیکیشن مخرب iKHfaa VPN از یک ارائهدهنده خدمات VPN قانونی کپی کرده و همین مسئله باعث شده تا شناسایی آن بسیار دشوار باشد.
برای هرچه سختتر شدن امکان شناسایی بدافزارهای پنهان شده در این اپلیکیشنها، عامل تهدید از روشهای رمزگذاری مختلف مانند AES، CBC و PKCS5PADDING بهرهمند شده و تکنیک مبهمسازی Proguard را برای پنهان کردن کدهای مخرب خود انتخاب کرده است.
گروه هکری DoNot دوباره فعال شده است
به گزارش Gizmochina، محققان حوزه امنیت سایبری با بررسی حساب ناشر این اپلیکیشنهای در فروشگاه Google Play store متوجه ارتباط آن با یک گروه هکر بزرگ به نام DoNot شدند که پیش از این نیز با انتشار فایلهای آلوده به بدافزار در فضای مجازی، به دنبال جمعآوری اطلاعات کاربران بودهاند.
این گروه خرابکار که تخصص خاصی در زمینه انتشار فایلهای Word آلوده و حملات فیشینگ دارد، اکنون استراتژی خود را تغییر داده و به جای انتشار اینگونه فایلها در برنامههای پیامرسان مانند تلگرام و واتساپ، به تولید اپلیکیشنهای آلوده مختلف با ظاهری فریبدهنده روی آورده است.
در همین رابطه بخوانید:
- مراقب فایل ISO ویندوز 10 آلوده به بدافزار بسیار خطرناک باشید
- گزارش ترسناک محققان بیت دیفندر: ۶۰ هزار بدافزار موبایل جدید در فروشگاه های نرم افزار کشف شد
از آنجا که کاربران به سیستم امنیتی فروشگاه گوگل پلی اعتماد دارند، انتشار اینگونه بدافزارها با شانس موفقیت بسیار بالایی همراه است.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت