گوگل پلی مدت‌ها میزبان بدافزارها بوده است

تروجانی با نام VajraSpy در 12 برنامه مخرب کشف شده است که از این تعداد ۶ برنامه از اول آوریل 2021 تا 10 سپتامبر 2023 در Google Play در‌دسترس بوده‌اند.

به‌گزارش تک‌ناک، برنامه‌های مخربی که اکنون از Google Play حذف شده‌اند، همچنان در فروشگاه‌های برنامه شخص ثالث در‌دسترس هستند و به‌عنوان برنامه‌های پیام‌رسان یا خبری پنهان شده‌اند.

افرادی که این برنامه‌ها را نصب کرده‌اند، با VajraSpy آلوده شده‌اند که به بدافزار اجازه می‌دهد تا اطلاعات شخصی، از‌جمله مخاطبان و پیام‌ها را بدزدد و با‌توجه‌به مجوزهای اعطا‌شده، حتی تماس‌های تلفنی آنان را ضبط کند.

بلیپینگ‌کامپیوتر می‌نویسد محققان ESET که این خراب‌کاری را کشف کرده‌اند، گزارش می‌دهند اپراتورهای این گروه Patchwork APT هستند که حداقل از اواخر سال 2015 فعالیت کرده‌اند و عمدتاً کاربران پاکستانی را هدف قرار می‌دهند.

در سال 2022، این عناصر تهدیدکننده به‌طور تصادفی جزئیاتی از حمله خود را فاش کردند؛ آن‌هم درست زمانی‌که به‌طور ناخواسته زیرساخت خود را با نرم‌افزار RAT به نام Ragnatela آلوده کردند. این اشتباه امکان دسترسی به فعالیت‌های Patchwork را برای Malwarebytes فراهم کرد.

ارتباط بین VajraSpy و خوشه فعالیتی که ESET آن را با نام Patchwork شناسایی می‌کند، ابتدا در سال 2022 به‌واسطه QiAnXin (به APT-Q-43 نسبت داده شده) برقرار و سپس ازطریق متا در مارس 2023 و Qihoo 360 در نوامبر 2023 (به APT-C-52 نسبت داده شده) تأیید شد.

01
از 01
جاسوسی اندروید

یکی از محققان ESET به نام لوکاس استفانکو 12 برنامه مخرب اندروید را کشف کرد که حاوی کد RAT VajraSpy یکسان بودند. از این تعداد ۶ برنامه در Google Play بارگذاری و تقریباً 1400 بار دانلود شده بودند. برنامه‌هایی که در Google Play در‌دسترس بودند، عبارت‌اند از:

Rafaqat (اخبار)
Privee Talk (پیام‌رسان)
MeetMe (پیام‌رسان)
Let’s Chat (پیام‌رسان)
Quick Chat (پیام‌رسان)
Chit Chat (پیام‌رسان)

برنامه‌های VajraSpy که خارج از Google Play در‌دسترس هستند، همگی برنامه‌های پیام‌رسان جعلی هستند؛ ازجمله:

Hello Chat
YohooTalk
TikTalk
Nidus
GlowChat
Wave Chat

فروشگاه‌های برنامه‌های شخص ثالث گزارشی از تعداد دانلودهای برنامه‌ها ارائه نمی‌دهند؛ بنابراین، تعداد کاربرانی که آن‌ها را از‌طریق این پلتفرم‌ها نصب کرده‌اند، نامعلوم است. تجزیه‌و‌تحلیل تله‌متری ESET نشان می‌دهد که بیشتر قربانیان در پاکستان و هند قرار دارند و احتمالاً با استفاده از کلاه‌برداری عاشقانه، به نصب برنامه‌های جعلی پیام‌رسان وادار شده‌اند.

VajraSpy نرم‌افزاری جاسوسی و RAT است که از قابلیت‌های جاسوسی مختلفی پشتیبانی می‌کند؛ قابلیت‌هایی که اغلب حول دزدیدن اطلاعات می‌چرخند. قابلیت‌های تروجان مذکور ازاین‌قرارند:

جمع‌آوری و انتقال داده‌های شخصی از دستگاه آلوده شامل مخاطبان و لاگ تماس‌ها و پیام‌های SMS
اعمال مداخله و استخراج پیام‌ها از برنامه‌های ارتباطی رمزگذاری‌شده محبوب مانند واتساپ و سیگنال
ضبط تماس‌های تلفنی برای امکان پیگیری مکالمات خصوصی
فعال‌سازی دوربین دستگاه برای عکس‌برداری و تبدیل آن به ابزار نظارتی
انتقال هم‌زمان اعلان‌ها از برنامه‌های مختلف
جست‌وجو و استخراج اسناد، تصاویر، فایل‌های صوتی و سایر انواع فایل‌ها

قدرت VajraSpy در طبیعت ماژولار و تطبیق‌پذیری آن است؛ در‌حالی‌که میزان امکانات جاسوسی آن را سطح مجوزهایی تعیین می‌کند که در دستگاه آلوده به آن داده می‌شود. ESET توصیه می‌کند که کاربران از دانلود برنامه‌های گفت‌وگومحور ناشناخته که افراد ناشناس معرفی می‌کنند، خودداری کنند؛ زیرا این تاکتیک متداول و پایداری است که سوءاستفاده‌کنندگان سایبری برای نفوذ به دستگاه‌ها استفاده می‌کنند.

هرچند Google Play سیاست‌های جدیدی را معرفی کرده است که مخفی‌شدن برنامه‌های مخرب را سخت‌تر می‌کند، تهدیدکنندگان همچنان برنامه‌های مخرب خود را به‌طور پنهانی در این پلتفرم قرار می‌دهند. اخیراً کشف شده است نرم‌افزار جاسوسی SpyLoan که اطلاعات را دزدیده، در سال 2023 بیش از 12 میلیون بار از Google Play دانلود شده است. یکی از نمایندگان گوگل درباره این مسئله گفته است:

ادعاها و شکایت‌های مربوط به امنیت و حریم خصوصی برنامه‌ها را جدی می‌گیریم و اگر متوجه شویم که برنامه‌ای با سیاست‌هایمان در تضاد است، اقدامات مناسب را انجام می‌دهیم.

کاربران به‌واسطه Google Play Protect محافظت می‌شوند که می‌تواند کاربران را از برنامه‌هایی آگاه کند که این رفتار مخرب را در دستگاه‌های اندرویدی با سرویس‌های Google Play نشان می‌دهند؛ حتی زمانی‌که این برنامه‌ها از منابع خارج از گوگل پلی دریافت می‌شوند.