برنامک‌های مخرب خوش‌قول!

مهاجمان موفق شده‌اند تا با به اشتراک‌گذاری چندین برنامک مخرب بر روی Play Store، در ظاهر ابزاری برای مدیریت مصرف باتری، بیش از 60 هزار دستگاه تحت سیستم عامل Android را آلوده کرده و داده‌های حساس آنها را سرقت کنند.

به اعتقاد محققان شرکت RiskIQ که جزییات این حمله را منتشر کرده‌اند آن چه که این برنامک‌ها را خاص می‌کند مدیریت واقعی باتری و تلاش برای به حداقل رساندن مصرف شارژ آن در عین جاسوسی از روی دستگاه کاربر است.

به گزارش شرکت مهندسی شبکه گستر، به نقل از شرکت RiskIQ اجرای حمله با نمایش یک پیام هشدار جعلی در حین وبگردی کاربر از طریق مرورگر نصب شده بر روی گوشی Android آغاز می‌شود. با هدف کسب اعتماد کاربر، پیام نمایش داده شده بر اساس نوع دستگاه کاربر سفارشی شده و در آن به نام سازنده و مدل دستگاه اشاره شده است.

در حالی که در اغلب حملات مشابه، کلیک بر روی پیام، منجر به باز شدن یک صفحه اینترنتی مخرب می‌شود، در جریان این حمله کاربر نه به سایتی آلوده که به بازار توزیع دیجیتال رسمی گوگل، یعنی Play Store هدایت می‌شود؛ محلی که در آن برنامک مخرب میزبانی شده است.

حتی اگر در پیام نمایش داده شده بجای Install بر روی گزینه Cancel کلیک شود باز هم این صفحه Play Store است که باز خواهد شد. چناچه بر روی گزینه Back کلیک شود پیام دیگری ظاهر شده و در آن به کاربر هشدار داده می‌شود دستگاه او همچنان کند باقی خواهد ماند!

در جریان نصب این برنامک‌های مخرب مجوز دسترسی‌های زیر از کاربر اخذ می شود:

• خواندن داده‌های حساس ذخیره شده در فایل‌های موسوم به Log
• دریافت پیامک
• دریافت داده‌ها از اینترنت
• اتصال به دستگاه‌های دیگر از طریق بلوتوث
• دسترسی کامل به شبکه
• تغییر تنظیمات سیستمی

همچنین این برنامک‌ها مجهز به یک درب‌پشتی تبلیغات مبتنی بر کلیک هستند که امکان سرقت اطلاعاتی نظیر شناسه IMEI، شماره تلفن و موقعیت دستگاه را فراهم می‌کند.

بر اساس سیستم کدگذاری سرورهای فرماندهی مهاجمان، محققان RiskIQ معتقدند که برنامک‌های مخرب حداقل بر روی 60 هزار دستگاه تحت سیستم عامل Android نصب شده‌اند.

در عین حال، همانطور که اشاره شد این برنامک‌ها فعالیت‌های وعده داده شده نظیر کاهش مصرف باتری، رصد وضعیت آن و متوقف کردن پروسه‌های استفاده‌کننده از باتری در زمان کم بودن شارژ را نیز اجرا می‌کنند.

این احتمال مطرح است که مهاجمان پشت‌پرده، به کدهای یک برنامک مجاز مدیریت باتری به‌نحوی دست یافته و سپس به آنها کدهای مخرب خود را افزوده باشند.

هر چند در گزارش RiskIQ به قابل دسترس بودن این برنامک‌های مخرب بر روی Play Store اشاره شده اما به‌نظر می‌رسد در زمان انتشار این خبر برنامک‌های مذکور توسط گوگل از این بازار توزیع دیجیتال حذف شده باشند.

عنوان بسته این برنامک‌های مخرب com.advancedbatr.batsaver گزارش شده است.

مشروح گزارش شرکت RiskIQ در لینک زیر قابل دریافت و مطالعه است:

• https://www.riskiq.com/blog/interesting-crawls/battery-saving-mobile-scam-app/