کشف بیش از 90 اپلیکیشن مخرب با 5/5 میلیون نصب از گوگل پلی

محققان شرکت Zscaler در ماه‌های اخیر بیش از 90 اپلیکیشن مخرب و آلوده به بدافزار با ۵/۵ میلیون نصب را در گوگل پلی شناسایی و تجزیه‌و‌تحلیل کرده‌اند.

به‌گزارش‌ تک‌ناک، بیش از ۹۰ اپلیکیشن مخرب اندرویدی که درمجموع بیش از ۵/۵ میلیون بار نصب شده‌اند، ازطریق گوگل پلی برای انتقال بدافزار و تبلیغات مزاحم استفاده می‌‌شدند. در میان این برنامه‌ها، تروجان بانکی Anatsa (Teabot) اخیراً با افزایش درخورتوجه فعالیت روبه‌رو شده است.

Anatsa تروجانی است که بیش از ۶۵۰ اپلیکیشن مؤسسه‌های مالی در اروپا، آمریکا، انگلستان و آسیا را هدف قرار می‌دهد. این تروجان تلاش می‌کند تا با سرقت اطلاعات ورود کاربران به بانکداری الکترونیکی، تراکنش‌های غیرمجاز انجام دهد.

به‌نقل از بلیپینگ‌کامپیوتر، در فوریه‌ی ۲۰۲۴، مؤسسه‌ی Threat Fabric گزارش داد که Anatsa از اواخر سال گذشته‌ی میلادی، با استفاده از چندین اپلیکیشن فریبنده در دسته‌بندی نرم‌افزارهای افزایش بهره‌وری، حداقل ۱۵۰ هزار مورد آلودگی را از‌طریق گوگل پلی ایجاد کرده است.

دراین‌میان، Zscaler گزارش می‌دهد که Anatsa بار‌دیگر به فروشگاه رسمی اپلیکیشن‌های اندروید بازگشته و ازطریق دو اپلیکیشن فریبنده به نام‌های «PDF Reader & File Manager» و «QR Reader & File Manager» توزیع می‌شود.

در زمان تحلیل Zscaler، این دو اپلیکیشن مخرب در‌مجموع بیش از ۷۰ هزار بار نصب شده بودند که نشان‌دهنده‌ی ریسک زیاد نفوذ برنامه‌های مخرب از طریق فرایند بررسی گوگل پلی است. یکی از ویژگی‌هایی که به برنامه‌های مخرب Anatsa در فرار از شناسایی کمک می‌کند، مکانیزم بارگذاری چندمرحله‌ای است که شامل چهار مرحله‌ی مجزا می‌شود:

• برنامه‌ی Dropper پیکربندی و رشته‌های ضروری را از سرور فرمان و کنترل (C2) بازیابی می‌کند.
• فایل DEX حاوی کد مخرب Dropper روی دستگاه دانلود و فعال می‌شود.
• فایل پیکربندی با URL محموله Anatsa دانلود می‌شود.
• فایل DEX محموله‌ی مخرب (APK) را بازیابی و نصب و بدین‌ترتیب، آلودگی را کامل می‌کند.

فایل DEX بررسی‌های ضدتحلیل را نیز انجام می‌دهد تا مطمئن شود بدافزار در محیط‌های سندباکس (محیط‌های آزمایش ایزوله) یا شبیه‌ساز اجرا نمی‌شود. پس از راه‌اندازی Anatsa در دستگاه آلوده‌شده، این بدافزار تنظیمات بات و نتایج اسکن برنامه‌ها را بارگذاری و سپس تزریق‌هایی را متناسب با موقعیت و مشخصات قربانی دانلود می‌کند.

براساس گزارش Zscaler، در چند ماه گذشته این شرکت بیش از ۹۰ اپلیکیشن مخرب را در گوگل پلی شناسایی کرده است که در‌مجموع بیش از ۵/۵ میلیون بار نصب شده‌اند. بیشتر این برنامه‌های مخرب خود را در قالب ابزارهای جانبی، برنامه‌های شخصی‌سازی، ابزارهای عکاسی، برنامه‌های افزایش بهره‌وری و برنامه‌های سلامتی و تناسب‌اندام جا می‌زنند. پنج خانواده‌ی اصلی بدافزار که در‌این‌میان جلب توجه می‌کنند، عبارت‌اند از: Joker ،Facestealer ،Anatsa ،Coper و انواع مختلف ابزارهای تبلیغاتی مزاحم.

Anatsa و Coper فقط ۳ درصد از کل دانلود اپلیکیشن مخرب گوگل پلی را تشکیل می‌دهند؛ اما بسیار خطرناک‌تر از سایر اپلیکیشن‌ها هستند و می‌توانند با تقلب در دستگاه و سرقت اطلاعات حساس، فعالیت‌های مخرب انجام دهند.

هنگام نصب برنامه‌های جدید در گوگل پلی، به مجوزهای درخواستی آن‌ها توجه کنید و از پذیرفتن مجوزهای مرتبط با فعالیت‌های پرخطر مانند سرویس دسترسی و پیام کوتاه و فهرست مخاطبان خودداری کنید.

پژوهشگران نام این ۹۰ اپلیکیشن مخرب را فاش نکرده‌اند و نیز مشخص نیست که آیا آن‌ها به گوگل برای حذف‌شدن گزارش شده‌اند یا خیر. با‌این‌حال، در زمان نوشتن این خبر دو اپلیکیشن فریبنده‌ی Anatsa که Zscaler کشف کرده بود، از گوگل پلی حذف شده‌اند.

ناگفته نماند که Google Play Protect با حذف خودکار یا غیرفعال‌کردن برنامه‌های شناخته‌شده‌ی حاوی این بدافزار روی دستگاه‌های اندرویدی با سرویس‌های گوگل پلی، از کاربران محافظت می‌کند.