محققان شرکت Zscaler در ماههای اخیر بیش از 90 اپلیکیشن مخرب و آلوده به بدافزار با ۵/۵ میلیون نصب را در گوگل پلی شناسایی و تجزیهوتحلیل کردهاند.
بهگزارش تکناک، بیش از ۹۰ اپلیکیشن مخرب اندرویدی که درمجموع بیش از ۵/۵ میلیون بار نصب شدهاند، ازطریق گوگل پلی برای انتقال بدافزار و تبلیغات مزاحم استفاده میشدند. در میان این برنامهها، تروجان بانکی Anatsa (Teabot) اخیراً با افزایش درخورتوجه فعالیت روبهرو شده است.
Anatsa تروجانی است که بیش از ۶۵۰ اپلیکیشن مؤسسههای مالی در اروپا، آمریکا، انگلستان و آسیا را هدف قرار میدهد. این تروجان تلاش میکند تا با سرقت اطلاعات ورود کاربران به بانکداری الکترونیکی، تراکنشهای غیرمجاز انجام دهد.
بهنقل از بلیپینگکامپیوتر، در فوریهی ۲۰۲۴، مؤسسهی Threat Fabric گزارش داد که Anatsa از اواخر سال گذشتهی میلادی، با استفاده از چندین اپلیکیشن فریبنده در دستهبندی نرمافزارهای افزایش بهرهوری، حداقل ۱۵۰ هزار مورد آلودگی را ازطریق گوگل پلی ایجاد کرده است.
دراینمیان، Zscaler گزارش میدهد که Anatsa باردیگر به فروشگاه رسمی اپلیکیشنهای اندروید بازگشته و ازطریق دو اپلیکیشن فریبنده به نامهای «PDF Reader & File Manager» و «QR Reader & File Manager» توزیع میشود.
در زمان تحلیل Zscaler، این دو اپلیکیشن مخرب درمجموع بیش از ۷۰ هزار بار نصب شده بودند که نشاندهندهی ریسک زیاد نفوذ برنامههای مخرب از طریق فرایند بررسی گوگل پلی است. یکی از ویژگیهایی که به برنامههای مخرب Anatsa در فرار از شناسایی کمک میکند، مکانیزم بارگذاری چندمرحلهای است که شامل چهار مرحلهی مجزا میشود:
- برنامهی Dropper پیکربندی و رشتههای ضروری را از سرور فرمان و کنترل (C2) بازیابی میکند.
- فایل DEX حاوی کد مخرب Dropper روی دستگاه دانلود و فعال میشود.
- فایل پیکربندی با URL محموله Anatsa دانلود میشود.
- فایل DEX محمولهی مخرب (APK) را بازیابی و نصب و بدینترتیب، آلودگی را کامل میکند.
فایل DEX بررسیهای ضدتحلیل را نیز انجام میدهد تا مطمئن شود بدافزار در محیطهای سندباکس (محیطهای آزمایش ایزوله) یا شبیهساز اجرا نمیشود. پس از راهاندازی Anatsa در دستگاه آلودهشده، این بدافزار تنظیمات بات و نتایج اسکن برنامهها را بارگذاری و سپس تزریقهایی را متناسب با موقعیت و مشخصات قربانی دانلود میکند.
براساس گزارش Zscaler، در چند ماه گذشته این شرکت بیش از ۹۰ اپلیکیشن مخرب را در گوگل پلی شناسایی کرده است که درمجموع بیش از ۵/۵ میلیون بار نصب شدهاند. بیشتر این برنامههای مخرب خود را در قالب ابزارهای جانبی، برنامههای شخصیسازی، ابزارهای عکاسی، برنامههای افزایش بهرهوری و برنامههای سلامتی و تناسباندام جا میزنند. پنج خانوادهی اصلی بدافزار که دراینمیان جلب توجه میکنند، عبارتاند از: Joker ،Facestealer ،Anatsa ،Coper و انواع مختلف ابزارهای تبلیغاتی مزاحم.
Anatsa و Coper فقط ۳ درصد از کل دانلود اپلیکیشن مخرب گوگل پلی را تشکیل میدهند؛ اما بسیار خطرناکتر از سایر اپلیکیشنها هستند و میتوانند با تقلب در دستگاه و سرقت اطلاعات حساس، فعالیتهای مخرب انجام دهند.
هنگام نصب برنامههای جدید در گوگل پلی، به مجوزهای درخواستی آنها توجه کنید و از پذیرفتن مجوزهای مرتبط با فعالیتهای پرخطر مانند سرویس دسترسی و پیام کوتاه و فهرست مخاطبان خودداری کنید.
پژوهشگران نام این ۹۰ اپلیکیشن مخرب را فاش نکردهاند و نیز مشخص نیست که آیا آنها به گوگل برای حذفشدن گزارش شدهاند یا خیر. بااینحال، در زمان نوشتن این خبر دو اپلیکیشن فریبندهی Anatsa که Zscaler کشف کرده بود، از گوگل پلی حذف شدهاند.
ناگفته نماند که Google Play Protect با حذف خودکار یا غیرفعالکردن برنامههای شناختهشدهی حاوی این بدافزار روی دستگاههای اندرویدی با سرویسهای گوگل پلی، از کاربران محافظت میکند.
