شیوع بدافزارها در گوگلپلی و خطراتی که به همراه دارد!
تاریخ انتشار: ۲۸ آذر ۱۳۹۶ | کد خبر: ۱۶۱۴۱۰۱۵
ایتنا - برنامههای مخرب روی فروشگاه گوگل پلی با عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند.
دو سال گذشته در ماه اکتبر 2015 ما مقالهای در مورد یک بدافزار محبوب منتشر ساختیم که در فروشگاه گوگل پلی توزیع شده بود. ما طی دو سالی که پشت سر گذاشتیم مجددا مشابه این بدافزار را در فروشگاه گوگل پلی شناسایی کردیم اما در اکتبر و نوامبر سال 2017، 85 برنامه مخرب در گوگل پلی شناسایی کردیم که توانسته بودند اعتبار نامهها را از اپلیکیشن VK.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
به گزارش ایتنا از کسپرسکی آنلاین، تمامی برنامههای مخرب توسط راهکارهای امن لابراتوار کسپرسکی به عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند. ما 72 گونه از آن ها را به گوگل گزارش دادیم و این برنامههای مخرب از گوگل پلی حذف گردیدند و 13 برنامه ی دیگر نیز قبل از آن حذف شده بودند. علاوه بر این، ما این سرقت را با جزئیات فنی به VK.comگزارش دادیم. یکی از برنامهها در گوگل پلی در پشت یک برنامه ی بازی پنهان شده بود و بیش از یک میلیون بار از فروشگاه گوگل دانلود شده بود.
برخی از اپلیکیشن های محبوب دیگر بین برنامههای مخرب وجود داشت که هفت برنامه از بین آن ها 10.000 تا 100.000 بار و نه برنامه بین 1000 تا 10.000بار از گوگل پلی دانلود و توسط کاربران نصب شده بود. برنامههای دیگر کمتر از 1000 بار توسط کاربران دانلود و نصب شده بودند.
برنامههای مخرب روی فروشگاه گوگل پلی با عنوان Trojan-PSW.AndroidOS.MyVk.o شناسایی شدند.
اکثر این برنامهها در اکتبر سال 2017 در گوگل پلی آپلود شدند قابل ذکر است که چندین برنامه ی دیگر از بین آنها در ماه های قبل یعنی ژوئیه در این فروشگاه آپلود شده بودند، یعنی توزیع برخی از آنها در سه ماه قبل انجام شده بود. نکته قابل توجه اینجا است که محبوب ترین برنامهها در ابتدای ماه مارس 2017 به فروشگاه گوگل پلی اضافه و در آن جا آپلود شدند، در آن زمان هیچ کد مخربی بر روی این برنامهها وجود نداشت و فقط بازی بودند. مجرمان سایبری در ماه اکتبر برنامه های آپلود شده را با نسخههای مخرب به روز کردند و 7 ماه برای نتیجه دادن این عمل مخربانه انتظار کشیدند!
تمامی برنامههای مخرب همانند اپلیکیشن VK.com به نظر می آمدند، این برنامهها برای گوش دادن به موسیقی یا نظارت بر بازبینی صفحات کاربر مورد توجه کاربران قرار گرفتند.
بیشک چنین برنامههایی به یک کاربر برای ورود به حساب کاربری نیاز دارند، به همین دلیل است که به نظر کاربران مشکوک نمیآیند. تنها برنامههایی که قابلیتهای برنامه ی VK- را نداشتند، برنامههای واقعی و بی خطر بودند. زیرا VK در اکثر کشورهای غربی محبوب است مجرمان سایبری این محبوبیت را بی جواب نگذاشته اند و از اعتبارنامههای VK تنها برای کاربرانی با زبان های خاص روسی، اوکراینی، قزاق، ارمنی، آذربایجان، بلاروس، قرقیزستان، رومانیایی، تاجیک و ازبک استفاده کرده بودند.
بیش از دوسال بود که مجرمان سایبری برنامه های مخرب خود را در گوگل پلی منتشر ساخته بودند بنابراین آن ها مجبور به تغییر کد های مخرب برای جلوگیری از شناسایی شدند.
این اپلیکیشنها از یک VK SDK تغییر داده شده توسط کدهای فریب دهنده استفاده می کنند که کاربران می توانند به پیج استاندارد خود لاگین کنند اما مجرمان سایبری با استفاده از کدهای مخرب JS اعتبارنامه را از بخش لاگین پیج میگیرند و آنها را به برنامه دیگری منتقل می کنند.
پس از آن اعتبارنامه ها رمزنگاری و در وب سایتهای آلوده آپلود میشوند.
نکته جالبی که وجود دارد این است که اگر چه بسیاری از این برنامههای مخرب دارای ویژگیهای توصیف شده ای بودند اما برخی از آنها تفاوت هایی نیز داشتند. آن ها همچنین از کدهای OnPageFinished استفاده کردند که نه تنها برای استخراج اعتبار بلکه برای آپلود آنها هم مورد استفاده قرار گرفتند.
تصور کلی ما در مورد این فریب این است که مجرمان بیشتر از سرقت اعتبار نامه ها در VK.com استفاده میکنند. آنها به طور مخفیانه کاربران را به گروه های مختلف برای ترویج محبوبیت خود اضافه میکنند و از این راه در میان کاربران دیگر شهرت زیادی بدست می آوردند. ما این موضوع را از شکایات کاربران در مورد اینکه حسابهای آنها به چنین گروههایی اضافه شده است، دریافتهایم.
دلیل دیگر برای فکر کردن به این موضوع این است که ما چندین برنامه را در گوگل پلی یافتیم که توسط همان مجرمان سایبری با عنوان Trojan-PSW.AndroidOS.MyVk.o منتشر شده بود. مجرمان توانسته بودند یک برنامه ی غیر رسمی تگرام را برای کاربران که برنامه ی محبوب پیام رسان در میان کاربران بود را منتشر سازند. همگی آن ها توسط راهکارهای کسپرسکی به عنوان یک ویروس با نام HEUR:RiskTool.AndroidOS.Hcatam.a شناسایی شدند. ما در مورد این برنامهها نیز به گوگل متذکر شدیم و آن ها را از فروشگاه گوگل پلی حذف نمودیم.
این برنامهها نه تنها به شکل اپلیکشنهای تلگرام تغییر ظاهر داده بودند بلکه با استفاده از منبع باز Telegram SDK ایجاد شده بودند و تقریبا مانند هر برنامه دیگری کار می کردند. فرق آنها با تلگرام واقعی در این بود که کاربران برای ارتقاء گروه ها و چتها به این اپلیکیشنها افزوده میشدند. این برنامهها لیستی با گروهها یا چت ها را از سرور خود دریافت می کردند. علاوه بر این مجرمان قادرند کاربران را به گروه ها در هر زمان که مایل باشند، اضافه میکنند. برای این کار آن ها یک GCM token که به مجرمان اجازه میدهد تا دستورات 24/7 را ارسال کنند را به سرقت میبرند.
مورد دیگری که ما در تحقیقات خود کشف کردیم در مورد آلودگی وب سایت extensionsapiversion.space. است. با توجه به آمار KSN کسپرسکی در برخی موارد مجرمان با استفاده از API برای http://coinhive.com به ماینینگ کریپتوکارنسیها پرداختهاند.
منبع: ايتنا
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۶۱۴۱۰۱۵ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
گوگل ۲۰ کارمند دیگر را هم اخراج کرد!
به گزارش تسنیم به نقل از شبکه خبری سیاِناِن، گروهی که اخیراً تظاهراتی را در اعتراض به قرارداد شرکت آمریکایی گوگل با رژیم صهیونیستی سازمان داده است، اعلام کرد که این شرکت 20 کارمند دیگر را به علت حضور در این اعتراضات اخراج کرده است.
گروه "فناوری برای آپارتاید ممنوع" No Tech for Apartheid که اخیراً تظاهراتی را در دفاتر گوگل سازمان داده بود، در بیانیهای اعلام کرد که این شرکت آمریکایی علاوه بر 30 کارمندی که هفته گذشته اخراج شدند، 20 نفر دیگر نیز از کار خود برکنار شدهاند.
این گروه ادعا میکند که برخی از کارمندان اخراج شده در اعتراضات و تحصن سه شنبه دو هفته گذشته در دفاتر گوگل در نیویورک و سانی ویل، کالیفرنیا، "نظاره گر غیرشرکت کننده" بودند و فعالانه شرکت نداشتند.
این بیانیه اخراجهای دسته جمعی را در گوگل محکوم کرد و آن را "اقدام تهاجمی و انتقام جویی از روی استیصال" خواند.
سخنگوی گوگل از بیان دقیق تعداد کارگرانی که به دلیل اعتراضات اخراج شدهاند خودداری کرد، اما در بیانیهای که سهشنبه برای شبکهCNN ارسال شد، تأیید کرد که اخراجهای بیشتری رخ داده است.
سازمان دهندگان این اعتراض در عین حال میگویند که برخی از کارگران اخراج شده هیچ اختلالی در داخل دفاتر گوگل ایجاد نکردهاند.
"گروه فناوری برای آپارتاید ممنوع" در این بیانیه اعلام کرد که گوگل عصبانی شده است چرا که مدیران این شرکت از قدرتی که کارکنان در تحصنهای تاریخی سهشنبه گذشته نشان دادند و همچنین از واکنش نادرست خود خجالت میکشند.
این بیانیه افزود: اکنون، این شرکت به هر کارمندی که از نظر فیزیکی در مجاورت تظاهرات بوده از جمله کسانی که اصلاً در این کمپین شرکت نداشتهاند، ضربه میزند.
در گزارش سیانان آمده است: قتل عام غیرنظامیان در غزه شکاف عمیقی در افکار عمومی آمریکا ایجاد کرده است و اعتراضات گسترده علیه حمایت دولت ایالات متحده... از اسرائیل در سراسر دانشگاهها و شرکتهای این کشور در هفتههای اخیر افزایش یافته است.
اعتراض کارکنان گوگل به قرارداد رایانش ابری این شرکت با دولت اسرائیل بیش از شش ماه پس از حمله 7 اکتبر حماس شکل گرفت و این در حالی است که حملات اسرائیل به غزه اکنون بیش از 34 هزار کشته برجای گذاشته است که بیش از 70 درصد از کشته شدگان را زنان و کودکان تشکیل میدهند.