بهره گیری حداقل 60 برنامک مخرب اندرویدی از روش Steganography
به گزارش شرکت مهندسی شبکه گستر، شرکت ضدویروس Dr Web از وجود بیش از 60 بازی اندرویدی بر روی Google Play خبر داده که از طریق کدهای مخربی که در درون فایل های تصویری پنهان شده اند اقدام به خرابکاری می کنند.
مخفی کردن کد در فایل هایی همچون فایل های تصویری یا ویدیویی به پنهان نگاری (Steganography) موسوم است.
با نصب برنامک مربوط به این بازی های آلوده، برنامک اقدام به برقراری ارتباط با سرور فرماندهی خود کرده و فایل های تصویری که در درون آن کدهای برنامک های APK مخرب جاسازی شده است را دریافت می کند.
در صورتی که دستگاه آلوده، Root شده باشد، کدهای APK از درون فایل تصویر استخراج شده و از طریق کلاس DexClassLoader در حافظه دستگاه فراخوانی می شود.
از جمله خرابکاری های این نوع برنامک های مخرب نمایش تبلیغات ناخواسته و جمع آوری اطلاعاتی همچون شناسه IMEI، نشانی MAC، فهرست اپراتورها و نسخه سیستم عامل دستگاه قربانی است.
به گزارش شرکت مهندسی شبکه گستر به نقل از سایت Network World تکنیک ویروس نویسان این حمله، بسیار مشابه روشی است که توسط دو محقق در اکتبر 2014 در کنفرانس Black Hat Europe ارائه شد.
این محققان نشان داده بودند که می توان کد APK را در درون یک فایل تصویری در ظاهر سالم مخفی کرد. نکته جالب اینکه آنها نیز به DexClassLoader بعنوان راهی برای فراخوانی کد APK در حافظه دستگاه اشاره کرده بودند.
تا چند سال پیش، Google Play، محلی مناسب برای به اشتراک گذاری برنامک های مخرب محسوب می شد؛ تا آنکه شرکت گوگل سیاست های سخت گیرانه تری را در بررسی برنامک ها اجرا کرد. استفاده گوگل از فناوری هایی همچون Bouncer که با بهره گیری از الگوریتم های رفتار شناسی به بررسی عملکرد برنامک ها می پردازد هر چند ورود برنامک های مخرب را غیرممکن نکرد اما دشواری عبور از سد آنها سبب شد که بسیاری از ویروس نویسان به سمت فروشگاه های برنامک دیگری برای انتشار بدافزارهای اندرویدی خود روی آورند.
ورود این برنامک های آلوده به Google Play نشان دهنده مؤثر بودن روش پنهان نگاری در مخفی ماندن از دید نرم افزارهای امنیتی است.
