جولان دوباره بدافزار اندرویدی Necro در فروشگاه گوگل پلی که باید آن را جدی بگیرید

جولان دوباره بدافزار اندرویدی Necro در فروشگاه گوگل پلی که باید آن را جدی بگیرید

نسخه‌ی جدیدی از بدافزار Necro توانسته با پنهان شدن در زنجیره‌ای از کیت‌های توسعه‌ی نرم‌افزار (SDK) مورد استفاده‌ی سازندگان اپلیکیشن و بازی، بر روی بیش از ۱۱ میلیون دستگاه اندرویدی نصب شود. بدتر اینکه این بدافزار از طریق فروشگاه رسمی Google Play منتشر شده است.

این بدافزار از طریق SDKهای مورد استفاده برای نمایش تبلیغات در اپلیکیشن‌های معتبر، نسخه‌های تغییر یافته‌ی بازی‌های اندرویدی و نرم‌افزارهای محبوبی همچون اسپاتیفای، واتس‌اپ و ماینکرفت توزیع شده است.

کشف بدافزار Necro در Google Play
برای شناخت بهتر این نسخه‌ی جدید از بدافزار Necro، بهتر است بدانید چندین کد مخرب را بر روی دستگاه‌های آلوده نصب کرده و افزونه‌های مخربی را فعال می‌کند. بدافزار Necro در تمامی این موارد به یک شکل عمل می‌کند: نمایش تبلیغات در پس‌زمینه برای تولید درآمد کلاهبردارانه، نصب برنامه‌ها و APKها بدون رضایت کاربر و استفاده از WebViewهای نامرئی برای تعامل با خدمات پولی!

براساس گزارش شرکت امنیتی کسپرسکی، نسخه‌ی جدید این بدافزار در دو اپلیکیشن موجود در Google Play شناسایی شده است که هر دو دارای تعداد زیادی کاربر بودند.

اولین اپلیکیشن، Wuta Camera از شرکت Benqu است؛ ابزاری برای ویرایش و زیباسازی عکس که بیش از ۱۰ میلیون بار از Google Play دانلود شده است. تحلیلگران امنیتی اعلام کرده‌اند که بدافزار Necro در نسخه‌ی 6.3.2.148 این اپلیکیشن وجود داشت و تا نسخه‌ی 6.3.6.148 باقی ماند. پس از گزارش کسپرسکی، گوگل در نسخه‌ی 6.3.7.138 این تروجان را حذف کرد، اما هرگونه بدافزاری که در نسخه‌های قبلی نصب شده باشد، همچنان ممکن است در دستگاه‌های اندرویدی کاربران وجود داشته باشد.
اپلیکیشن دیگری که به Necro آلوده شده، Max Browser با بیش از یک میلیون بار دانلود بود که پس از گزارش کسپرسکی از Google Play حذف شد. آخرین نسخه‌ی این اپلیکیشن (1.2.0) همچنان حاوی بدافزار Necro است و به کاربران توصیه می‌شود آن را فوراً حذف و از مرورگر دیگری استفاده کنند.
استفاده از SDK مخرب

کسپرسکی اعلام کرده که هر دو اپلیکیشن به واسطه‌ی یک SDK تبلیغاتی به نام Coral SDK آلوده شده‌اند. این SDK با استفاده از تکنیک‌های مبهم‌سازی، فعالیت‌های مخرب خود را پنهان کرده و از استگانوگرافی تصاویر برای دانلود payload مرحله‌ی دوم با نام shellPlugin استفاده می‌کند که در قالب تصاویر PNG بی‌ضرر جا پنهان شده است.

علاوه بر Google Play، بدافزار Necro از طریق نسخه‌های mod شده‌ی اپلیکیشن‌های محبوب که از وب‌سایت‌های غیررسمی توزیع می‌شوند، نیز منتشر شده است. کسپرسکی گزارش کرده است که نسخه‌های تغییر یافته‌ی واتس‌اپ مانند GBWhatsApp و FMWhatsApp که وعده‌ی کنترل بهتر حریم خصوصی و افزایش محدودیت‌های اشتراک‌گذاری فایل را می‌دهند، به این بدافزار آلوده شده‌اند. همچنین نسخه‌ای از اسپاتیفای به نام Spotify Plus که دسترسی رایگان به خدمات پرمیوم بدون تبلیغات را ارائه می‌دهد، نیز حاوی این بدافزار است.

هرچند وب‌سایت‌های غیررسمی اندرویدی به‌طور دقیق تعداد دانلودها را گزارش نمی‌دهند، اما برآورد می‌شود که در موج اخیر بدافزار Necro، حداقل ۱۱ میلیون دستگاه از طریق Google Play آلوده شده باشند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ده − نه =

پربازدیدترین ها