مهاجمان موفق شدهاند تا با به اشتراکگذاری چندین برنامک مخرب بر روی Play Store، در ظاهر ابزاری برای مدیریت مصرف باتری، بیش از 60 هزار دستگاه تحت سیستم عامل Android را آلوده کرده و دادههای حساس آنها را سرقت کنند.
به اعتقاد محققان شرکت RiskIQ که جزییات این حمله را منتشر کردهاند آن چه که این برنامکها را خاص میکند مدیریت واقعی باتری و تلاش برای به حداقل رساندن مصرف شارژ آن در عین جاسوسی از روی دستگاه کاربر است.
به گزارش شرکت مهندسی شبکه گستر، به نقل از شرکت RiskIQ اجرای حمله با نمایش یک پیام هشدار جعلی در حین وبگردی کاربر از طریق مرورگر نصب شده بر روی گوشی Android آغاز میشود. با هدف کسب اعتماد کاربر، پیام نمایش داده شده بر اساس نوع دستگاه کاربر سفارشی شده و در آن به نام سازنده و مدل دستگاه اشاره شده است.
در حالی که در اغلب حملات مشابه، کلیک بر روی پیام، منجر به باز شدن یک صفحه اینترنتی مخرب میشود، در جریان این حمله کاربر نه به سایتی آلوده که به بازار توزیع دیجیتال رسمی گوگل، یعنی Play Store هدایت میشود؛ محلی که در آن برنامک مخرب میزبانی شده است.
حتی اگر در پیام نمایش داده شده بجای Install بر روی گزینه Cancel کلیک شود باز هم این صفحه Play Store است که باز خواهد شد. چناچه بر روی گزینه Back کلیک شود پیام دیگری ظاهر شده و در آن به کاربر هشدار داده میشود دستگاه او همچنان کند باقی خواهد ماند!
در جریان نصب این برنامکهای مخرب مجوز دسترسیهای زیر از کاربر اخذ می شود:
- خواندن دادههای حساس ذخیره شده در فایلهای موسوم به Log
- دریافت پیامک
- دریافت دادهها از اینترنت
- اتصال به دستگاههای دیگر از طریق بلوتوث
- دسترسی کامل به شبکه
- تغییر تنظیمات سیستمی
همچنین این برنامکها مجهز به یک دربپشتی تبلیغات مبتنی بر کلیک هستند که امکان سرقت اطلاعاتی نظیر شناسه IMEI، شماره تلفن و موقعیت دستگاه را فراهم میکند.
بر اساس سیستم کدگذاری سرورهای فرماندهی مهاجمان، محققان RiskIQ معتقدند که برنامکهای مخرب حداقل بر روی 60 هزار دستگاه تحت سیستم عامل Android نصب شدهاند.
در عین حال، همانطور که اشاره شد این برنامکها فعالیتهای وعده داده شده نظیر کاهش مصرف باتری، رصد وضعیت آن و متوقف کردن پروسههای استفادهکننده از باتری در زمان کم بودن شارژ را نیز اجرا میکنند.
این احتمال مطرح است که مهاجمان پشتپرده، به کدهای یک برنامک مجاز مدیریت باتری بهنحوی دست یافته و سپس به آنها کدهای مخرب خود را افزوده باشند.
هر چند در گزارش RiskIQ به قابل دسترس بودن این برنامکهای مخرب بر روی Play Store اشاره شده اما بهنظر میرسد در زمان انتشار این خبر برنامکهای مذکور توسط گوگل از این بازار توزیع دیجیتال حذف شده باشند.
عنوان بسته این برنامکهای مخرب com.advancedbatr.batsaver گزارش شده است.
مشروح گزارش شرکت RiskIQ در لینک زیر قابل دریافت و مطالعه است: