میلیون ها نفر قربانی برنامه های آلوده گوگل پلی شدند!
این اپلیکیشن ها که با ارسال مخفیانه پیامک به سرویس های پریمیوم SMS و ثبت اشتراک کاربران در سرویس های آنلاین برای کلاهبردارها درآمدزایی می کردند، اکنون از فروشگاه گوگل حذف شده اند.
این اپ ها توسط محققان شرکت Check Point پیدا شده اند. آن ها دریافتند که این بدافزار بعد از شناسایی شدن بر روی اپلیکیشنی به نام Lovely Wallpaper اسم خود را به ExpensiveWall تغییر داده است. این بدافزار گونه ای از همان بدافزاری است که در ماه ژانویه توسط مک آفی (McAfee) در یک اپلیکیشن تصویربرداری پیدا شده بود.
وقتی اپلیکیشن آلوده به ExpensiveWall نصب می شود، هکرها شماره تلفن دستگاه را در اختیار گرفته و از آن برای ثبت اشتراک در چندین سرویس پولی و ارسال پیامک های کلاهبرداری استفاده می کنند.
طبق تصویری که از بخش نظرات یکی از این اپلیکیشن ها تهیه شده، این بدافزار ماهانه ۱۲ دلار خرج روی دوش یکی از قربانیان می گذاشت.
گوگل بعد از اعلام این مشکل توسط Check Point در تاریخ ۷ آگوست به سرعت اپلیکیشن های مذکور را از استور خود حذف کرد. اما چند روز بعد مجدداً یک اپلیکیشن آلوده به ExpensiveWall به گوگل پلی راه پیدا کرد و به گفته Check Point بیش از ۵ هزار دستگاه دیگر را آلوده کرد.
این شرکت امنیتی لیستی از اپلیکیشن های آلوده را در وبسایت خود منتشر کرده و از کاربران خواسته تا آن ها را به صورت دستی از دستگاه های خود حذف کنند.
معلوم نیست که این اپلیکیشن ها چه زمانی توسط ExpensiveWall آلوده شده اند، ولی برخی از این اپ ها در سال ۲۰۱۵ روی گوگل پلی آپلود شده بودند. Check Point معتقد است که این مشکل می تواند از کیت توسعه نرم افزاری گوگل موسوم به gtk نشأت گرفته باشد.
پردانلودترین اپلیکیشن آلوده I Love Filter نام دارد که در ماه ژانویه کشف شد. این برنامه بین یک تا پنج میلیون بار دانلود شده بود.
سایر اپلیکیشن ها که حدود یک میلیون بار دانلود داشته اند شامل X Wallpaper ، Horoscope و X Wallpaper Pro هستند.
توسعه دهندگان ExpensiveWall برای جلوگیری از شناسایی شدن برنامه خود توسط ضد بدافزار گوگل از روشی موسوم به Packers استفاده کردند که در آن فایل های مخرب رمزنگاری یا فشرده می شود تا آنالیز کردن آن سخت تر گردد. گونه ای از این بدافزار که اوایل امسال کشف شده بود از این ترفند استفاده نمی کرد.
اپلیکیشن های مخرب برای دسترسی به SMS و اینترنت از کاربر اجازه می گیرند. اگر این مجوز صادر شود، اطلاعات کلیدی دستگاه مثل آدرس مک، آدرس IP و UDI برای هکرها ارسال می شود.
برای ثبت اشتراک در سرویس های پریمیوم و ارسال پیامک، اپلیکیشن به صورت پشت صحنه وبسایتی را باز کرده و اسکریپتی را اجرا می کند که توانایی کلیک کردن روی لینک هایی که توسط صاحبان ExpensiveWall فراهم شده را دارد.
بر اساس گزارش امنیتی ۲۰۱۶ اندروید، اپ های کلاهبرداری از طریق پیامک ۱۰ درصد از سهم همه برنامه های آلوده گوگل پلی را در اختیار دارند و نسبت به سال ۲۰۱۵ حدود ۲۸۲ درصد رشد داشته اند.
کلاهبرداری Toll fraud که باعث هزینه های اضافی برای قبض کاربران می شود هم مجموعاً دو درصد از این برنامه های مخرب را تشکیل می دهند، اما نسبت به سال گذشته ۵۹۳ درصد رشد داشته اند.
در ماه های اخیر، گوگل اپلیکیشن های آلوده زیادی نظیر SpyDealer ،SonicSpy و Judy را از پلی استور حذف کرده است.
وجود اپلیکیشن های مخرب دلیل خوبی برای فعال سازی قابلیت Google Play Protect در اندروید است. همه دستگاه هایی که روی آن ها Google Play نصب شده باشد این قابلیت را دارند. کاربرانی که این امکان را فعال نکرده اند، احتمالاً به زودی خواهند دید که برای نصب برنامه از گوگل پلی باید آن را فعال کنند.
گوگل روز گذشته نسخه جدیدی از SafetyNet Verify Apps API منتشر کرد که توسعه دهنده با استفاده از آن می تواند از وجود Play Protect بر روی دستگاه کاربر مطلع شود. به علاوه، توسعه دهنده متوجه می شود که اپلیکیشن مخربی در دستگاه کاربر نصب شده است یا خیر.