توزیع جاسوس افزار از طریق گوگل پلی

محققان امنیتی‌ اخیراً موفق‌ به‌ کشف‌ یک‌ بدافزار اندرویدی‌ جدید شده اند که‌ در قالب‌ یک‌ SDK تبلیغاتی‌ توزیع‌ می‌شود که‌ این‌ SDK در تعداد زیادی‌ از نرم افزارهایی‌ که‌ سابقاً در گوگل‌پلی‌ حضور داشته‌ و مجموعاً بیش‌ از ٤٠٠ میلیون بار دانلود شده بودند، کشف‌ شده است‌. به‌ گفته‌ محققان، این‌ بدافزار که‌ SpinOk نامیده شده است‌، قادر به‌ سرقت‌ اطلاعات شخصی‌ ذخیره شده بر روی‌ تلفن‌های‌ همراه کاربران قربانی‌ و ارسال این‌ اطلاعات به‌ یک‌ سرور راه دور می‌باشد. این‌ بدافزار در ظاهر، رفتاری‌ عادی‌ و قانونی‌ از خود بروز می‌دهد که‌ این‌ کار از طریق‌ بازی‌های‌ کوچکی‌ که‌ برای‌ جلب‌ توجه‌ کاربر جوایز روزانه‌ تعیین‌ کرده اند، صورت می‌پذیرد.

 در ظاهر امر، ماژول SpinOk به‌ منظور جلب‌ و حفظ‌ علاقه‌ کاربران نسبت‌ به‌ نرم افزارها از طریق‌ بازی‌ های‌ کوچک‌، مجموعه‌ای‌ از وظایف‌ و جوایز، طراحی‌ شده است‌؛ اما در پس‌ زمینه‌، SDK مخرب، داده های‌ مربوط به‌ سنسورهای‌ دستگاه اندرویدی‌ از جمله‌ Gyroscope، Magnetometer را بررسی‌ می‌کند تا از اینکه‌ در یک‌ محیط‌ آزمایشی‌(محیطی‌ که‌ عمدتاً محققان در زمان تجزیه‌ و تحلیل‌ یک‌ نرم افزار بالقوه مخرب از آن استفاده می‌کنند) اجرا نمی‌شود، اطمینان حاصل‌ نماید. نرم افزار آلوده در ادامه‌ به‌ یک‌ سرور راه دور متصل‌ شده و فهرست‌ URLهایی‌ که‌ برای‌ نمایش‌ بازی‌های‌ مورد نظر به‌ کاربر استفاده می‌شوند را دانلود می‌کند.

 در زمانی‌ که‌ این‌ بازی‌ها به‌ کاربر نمایش‌ داده می‌شوند، این‌ SDK مخرب در پس‌ زمینه‌ دارای‌ کارکردها و قابلیت‌های‌ دیگری‌ نیز می‌باشد که‌ از جمله‌ آنها می‌توان به‌ فهرست‌ کردن فایل‌های‌ موجود در یک‌ مسیر، جستجو برای‌ فایل‌ هایی‌ خاص، آپلود کردن فایل‌ ها از طریق‌ دستگاه و یا کپی‌ و جایگزین‌ کردن محتوای‌ کلیپ‌بورد، می‌ باشد. اما قابلیت‌ انتقال فایل‌ها در این‌ SDK آلوده، با توجه‌ به‌ این‌ که‌ تصاویر، ویدیوها و مستندات شخصی‌ را در معرض دسترسی‌ هکرها قرار می‌ دهد، بسیار نگران کننده می‌باشد. علاوه بر این‌، قابلیت‌ اعمال تغییرات در محتوای‌ کلیپ‌بورد، هکرها را قادر می‌سازد تا اقدام به‌ سرقت‌ کلمات عبور حساب های‌ کاربری‌ و اطلاعات کارت های‌ اعتباری‌ نمایند و یا پرداخت‌های‌ رمزارزی‌ را به‌ آدرس کیف‌ پول رمزارزی‌ خود واریز نمایند. محققان امنیتی‌ اذعان داشتند که‌ SDK مورد بحث‌، در بیش‌ از ١٠١ نرم افزار کشف‌ شده است‌ که‌ این‌ نرم افزارها در مجموع به‌ تعداد 421.290.300 بار از طریق‌ گوگل‌پلی‌ دانلود شده اند.

از جمله‌ نرم افزارهای‌ آلوده، می‌ توان به‌ Zapya (نرم افزار انتقال فایل‌، با بیش‌ از ١٠٠ میلیون بار دانلود) و .... اشاره داشت‌. شایان ذکر است‌ در حال حاضر به‌ جز یکی‌ از نرم افزارهای‌ مخرب، سایر نرم افزارها از گوگل‌پلی‌ حذف شده اند. این‌ که‌ توسعه‌دهندگان اپلیکیشن‌های‌ مربوطه‌ به‌ صورت عامدانه‌ از SDK مخرب استفاده کرده باشند و یا توسط‌ توسعه‌ دهندگان آن فریب‌ داده شده باشند، مشخص‌ نیست‌ ولی‌ عمده آلوده سازی‌ها، در نتیجه‌ حملاتی‌ تحت‌ عنوان Supply-Chain از سوی‌ یک‌ پیمانکار یا شخص‌ ثالث‌ انجام می‌ شوند. در همین‌ رابطه‌ به‌ کاربران پیشنهاد شده است‌ تا در صورت بهره برداری‌ از هر یک‌ از نرم افزارهای‌ مخرب، فوراً اقدام به‌ حذف آنها از تلفن‌ همراه خود نمایند و در ادامه‌، دستگاه را با استفاده از یک‌ نرم افزار ضدبدافزار معتبر و قدرتمند اسکن‌ نمایند تا در صورت وجود بقایای‌ بدافزار بر روی‌ تلفن‌ همراه، بدینوسیله‌، این‌ موارد نیز از روی‌ دستگاه حذف شوند.