محققان امنیتی دو برنامه مخرب مدیریت فایل را در گوگل پلی با تعداد نصب بیش از 1.5 میلیون بار کشف کردند که دادههای کاربران را بسیار فراتر از میزان مورد نیاز وعده داده شده برای ارائه عملکرد جمعآوری میکردند.
به گزارش تکناک، این برنامهها، که هر دو از یک ناشر هستند، بدون هیچ گونه تعاملی از سوی کاربر برای سرقت دادههای حساس و ارسال آن به سرورهای چین، میتوانند راهاندازی شوند.
علیرغم گزارش گوگل، این دو اپلیکیشن همچنان در گوگل پلی در دسترس هستند.
برنامه File Recovery & Data Recovery، که با نام “com.spot.music.filedate” در دستگاه ها شناسایی شدهاند، حداقل 1 میلیون نصب دارد. تعداد نصب برنامه File Manager حداقل 500هزار بوده است و می توان آن را در دستگاه ها به عنوان “com.file.box.master.gkd” شناسایی کرد.
این دو برنامه توسط موتور تجزیه و تحلیل رفتاری از شرکت امنیتی موبایل پرادئو کشف شدهاند و طبق توضیح آن هیچ اطلاعات کاربری را از دستگاه در بخش ایمنی داده در ورودی Google Play خود جمعآوری نمیکنند.
با این حال، طبق یافتههای پرادئو، این برنامه های تلفن همراه، داده های زیر را از دستگاه استخراج می کنند:
- لیست مخاطبین کاربران از حافظه دستگاه، حسابهای ایمیل متصل و شبکههای اجتماعی.
- تصاویر، فایلهای صوتی و ویدیویی که از داخل برنامه ها مدیریت یا بازیابی می شوند.
- موقعیت مکانی لحظهای کاربر
- کد کشور موبایل
- نام ارائه دهنده شبکه
- کد شبکه ارائه دهنده سیم کارت
- شماره نسخه سیستم عامل
- برند و مدل دستگاه
در حالی که برنامهها ممکن است دلیل موجهی برای جمعآوری برخی از موارد بالا به منظور اطمینان از عملکرد و سازگاری خوب داشته باشند، بسیاری از دادههای جمعآوریشده برای مدیریت فایل یا عملکردهای بازیابی اطلاعات ضروری نیستند. مسأله بدتر این است که این داده ها به صورت مخفیانه و بدون جلب رضایت کاربر جمع آوری می شوند.
همچنین به گفته پرادئو، این دو برنامه نمادهای صفحه اصلی خود را پنهان و پیدا کردن و حذف برنامه را دشوارتر میکنند. آنها همچنین قادر به سوء استفاده از مجوزهای تأییدشده توسط کاربر هنگام نصب برای راه اندازی مجدد دستگاه و اجرا در پس زمینه هستند.
طبق حدسیات پرادئو، احتمالاً ناشر این برنامهها از شبیه سازها یا مزارع نصب برای افزایش محبوبیت و قابل اعتمادتر نشان دادن محصولات خود استفاده کرده است.
این نظریه با وجود تعداد نظرات بسیار معدود کاربران در Play Store در مقایسه با پایگاه کاربر گزارش شده تطابق دارد.
همیشه توصیه می شود قبل از نصب برنامه، نظرات کاربران بررسی و در هنگام نصب برنامه به مجوزهای درخواستی توجه شود. همچنین کاربران تنها باید به نرم افزارهای منتشر شده توسط توسعه دهندگان معتبر اعتماد کنند.
در بهروزرسانی ۷ جولای گوگل در مصاحبهای با BleepingComputer، از حذف این برنامهها از Google Play خبر داد و گفت:
“این برنامهها از Google Play حذف شدهاند. Google Play Protect از کاربران در برابر برنامههای شناخته شده حاوی این بدافزار در دستگاههای اندروید با سرویسهای Google Play، حتی زمانی که این برنامهها از منابع خارج آن نصب شده باشند، محافظت میکند.”
