گوگل ۲۲۴ اپلیکیشن آلوده اندروید را حذف کرد

گوگل در اقدامی گسترده، ۲۲۴ اپلیکیشن مخرب اندروید را از فروشگاه پلی استور حذف کرد؛ اپلیکیشن‌هایی که در یک کمپین عظیم کلاهبرداری تبلیغاتی موسوم به SlopAds نقش داشتند.

به گزارش تکناک، این کمپین روزانه بیش از ۲.۳ میلیارد درخواست تبلیغاتی به شبکه‌های تبلیغاتی ارسال می‌کرد و میلیون‌ها کاربر را در سراسر جهان تحت تأثیر قرار داده بود.

کمپین SlopAds توسط تیم امنیتی Satori Threat Intelligence از شرکت HUMAN شناسایی شد. بر اساس گزارش این تیم، اپلیکیشن‌های آلوده بیش از ۳۸ میلیون بار توسط کاربران در ۲۲۸ کشور دانلود شده بودند. مهاجمان با بهره‌گیری از روش‌های مبهم‌سازی (Obfuscation) و استگانوگرافی، توانسته بودند رفتارهای مخرب اپلیکیشن‌ها را از چشم گوگل و نرم‌افزارهای امنیتی پنهان کنند.

بیشترین حجم ترافیک تبلیغاتی جعلی از کشورهای ایالات متحده (۳۰ درصد)، هند (۱۰ درصد) و برزیل (۷ درصد) گزارش شده است.

اپلیکیشن‌های SlopAds با تاکتیک‌های چندلایه طراحی شده بودند تا از سد بررسی‌های گوگل عبور کنند:

اگر اپلیکیشن از طریق جست‌وجوی عادی در پلی‌استور نصب می‌شد، رفتار طبیعی از خود نشان می‌داد و همان قابلیت‌های تبلیغ‌شده را ارائه می‌کرد.

به نقل از بلیپینگ‌کامپیوتر، اما اگر نصب اپلیکیشن از طریق تبلیغات مهاجمان انجام می‌شد، نرم‌افزار با استفاده از Firebase Remote Config یک فایل پیکربندی رمزگذاری‌شده دانلود می‌کرد. این فایل شامل آدرس ماژول بدافزار تبلیغاتی، سرورهای پول‌شویی (Cashout) و یک کد JavaScript بود.

پس از آن، اپلیکیشن بررسی می‌کرد که روی دستگاه یک کاربر واقعی نصب شده یا توسط محققان امنیتی در حال تحلیل است. اگر از این فیلتر عبور می‌کرد، چهار تصویر PNG دانلود می‌شد که بخش‌هایی از یک فایل APK مخرب را در خود پنهان کرده بودند. این بخش‌ها پس از رمزگشایی و کنار هم قرار گرفتن، بدافزاری به نام FatModule را تشکیل می‌دادند.

بدافزار FatModule پس از فعال‌سازی، با استفاده از WebViewهای مخفی اطلاعات دستگاه و مرورگر را جمع‌آوری می‌کرد. سپس به دامنه‌های تحت کنترل مهاجمان متصل می‌شد و با جعل ظاهر سایت‌های خبری و بازی، تبلیغات را به صورت پنهانی بارگذاری می‌کرد.

این فرآیند روزانه بیش از ۲ میلیارد نمایش و کلیک جعلی تولید می‌کرد و سود کلانی را به جیب مهاجمان می‌ریخت. بر اساس گزارش HUMAN، زیرساخت این کمپین شامل چندین سرور فرماندهی و کنترل (C2) و بیش از ۳۰۰ دامنه تبلیغاتی مرتبط بود که نشان می‌دهد مهاجمان قصد گسترش عملیات خود فراتر از ۲۲۴ اپلیکیشن اولیه را داشتند.

گوگل تمامی اپلیکیشن‌های شناسایی‌شده SlopAds را از فروشگاه پلی‌استور حذف کرده است. همچنین، سرویس Google Play Protect به‌روزرسانی شد تا در صورت وجود این اپ‌ها روی دستگاه کاربران، هشدار دهد و آنها را به حذف سریع تشویق کند.

با وجود این اقدام، کارشناسان HUMAN هشدار می‌دهند که پیچیدگی بالای این عملیات نشان می‌دهد مهاجمان احتمالاً در آینده با روش‌های جدید دوباره تلاش خواهند کرد. از این رو، کاربران باید هنگام دانلود اپلیکیشن‌ها از منابع غیررسمی یا تبلیغات ناشناس نهایت احتیاط را داشته باشند.

پژوهشگران HUMAN این کمپین را SlopAds نامیدند. دلیل این نامگذاری، شباهت اپلیکیشن‌های مخرب به برنامه‌های تولید انبوه و کم‌کیفیت مشابه محتوای «هوش مصنوعی Slop» و همچنین ارتباط برخی اپلیکیشن‌ها با سرویس‌ها و برنامه‌های هوش مصنوعی میزبانی‌شده روی سرورهای مهاجمان بود.

کمپین SlopAds بار دیگر نشان داد که زنجیره امنیتی اکوسیستم اندروید در برابر روش‌های پیشرفته کلاهبرداری تبلیغاتی همچنان آسیب‌پذیر است. هرچند گوگل توانست این حمله گسترده را مهار کند، اما احتمال بازگشت چنین کمپین‌هایی در آینده بسیار زیاد است. کارشناسان امنیتی تأکید دارند که تنها راه کاهش ریسک، هوشیاری کاربران و استفاده مداوم از ابزارهای امنیتی به‌روز است.