کشف ۲ برنامه مخرب چینی در گوگلی پلی

محققان امنیتی دو برنامه مخرب مدیریت فایل را در گوگل پلی با تعداد نصب بیش از 1.5 میلیون بار کشف کردند که داده‌های کاربران را بسیار فراتر از میزان مورد نیاز وعده داده شده برای ارائه عملکرد جمع‌آوری می‌کردند.

به گزارش تکناک، این برنامه‌ها، که هر دو از یک ناشر هستند، بدون هیچ گونه تعاملی از سوی کاربر برای سرقت داده‌های حساس و ارسال آن به سرورهای چین، می‌توانند راه‌اندازی شوند.

علیرغم گزارش گوگل، این دو اپلیکیشن همچنان در گوگل پلی در دسترس هستند.

برنامه File Recovery & Data Recovery، که با نام “com.spot.music.filedate” در دستگاه ها شناسایی شده‌اند، حداقل 1 میلیون نصب دارد. تعداد نصب برنامه File Manager حداقل 500هزار بوده است و می توان آن را در دستگاه ها به عنوان “com.file.box.master.gkd” شناسایی کرد.

این دو برنامه توسط موتور تجزیه و تحلیل رفتاری از شرکت امنیتی موبایل پرادئو کشف شده‌اند و طبق توضیح آن‌ هیچ اطلاعات کاربری را از دستگاه در بخش ایمنی داده در ورودی Google Play خود جمع‌آوری نمی‌کنند.

با این حال، طبق یافته‌های پرادئو، این برنامه های تلفن همراه، داده های زیر را از دستگاه استخراج می کنند:

• لیست مخاطبین کاربران از حافظه دستگاه، حساب‌های ایمیل متصل و شبکه‌های اجتماعی.
• تصاویر، فایل‌های صوتی و ویدیویی که از داخل برنامه ها مدیریت یا بازیابی می شوند.
• موقعیت مکانی لحظه‌ای کاربر
• کد کشور موبایل
• نام ارائه دهنده شبکه
• کد شبکه ارائه دهنده سیم کارت
• شماره نسخه سیستم عامل
• برند و مدل دستگاه

در حالی که برنامه‌ها ممکن است دلیل موجهی برای جمع‌آوری برخی از موارد بالا به منظور اطمینان از عملکرد و سازگاری خوب داشته باشند، بسیاری از داده‌های جمع‌آوری‌شده برای مدیریت فایل یا عملکردهای بازیابی اطلاعات ضروری نیستند. مسأله بدتر این است که این داده ها به صورت مخفیانه و بدون جلب رضایت کاربر جمع آوری می شوند.

همچنین به گفته پرادئو، این دو برنامه نمادهای صفحه اصلی خود را پنهان و پیدا کردن و حذف برنامه‌ را دشوارتر می‌کنند. آنها همچنین قادر به سوء استفاده از مجوزهای تأیید‌شده توسط کاربر هنگام نصب برای راه اندازی مجدد دستگاه و اجرا در پس زمینه هستند.

طبق حدسیات پرادئو، احتمالاً ناشر این برنامه‌ها از شبیه سازها یا مزارع نصب برای افزایش محبوبیت و قابل اعتمادتر نشان دادن محصولات خود استفاده کرده است.

این نظریه با وجود تعداد نظرات بسیار معدود کاربران در Play Store در مقایسه با پایگاه کاربر گزارش شده تطابق دارد.

همیشه توصیه می شود قبل از نصب برنامه، نظرات کاربران بررسی و در هنگام نصب برنامه به مجوزهای درخواستی توجه شود. همچنین کاربران تنها باید به نرم افزارهای منتشر شده توسط توسعه دهندگان معتبر اعتماد کنند.

در به‌روزرسانی ۷ جولای گوگل در مصاحبه‌ای با BleepingComputer، از حذف این برنامه‌ها از Google Play خبر داد و گفت:

“این برنامه‌ها از Google Play حذف شده‌اند. Google Play Protect از کاربران در برابر برنامه‌های شناخته شده حاوی این بدافزار در دستگاه‌های اندروید با سرویس‌های Google Play، حتی زمانی که این برنامه‌ها از منابع خارج آن نصب شده باشند، محافظت می‌کند.”