بدافزار جدید اندرویدی در فروشگاه PLAY با قابلیت غیرفعال‌کردن سرویس GOOGLE PLAY PROTECT و کاملا خطرناک برای تمامی افراد

 

یک بدافزار #‫اندرویدی در فروشگاه Play در حال انتشار است که توسط فعالان تهدید برای غیرفعال‌کردن سرویس Google Play Protect، تولید نظرات جعلی، نصب برنامه‌های مخرب، نمایش تبلیغات و موارد دیگر به‌کار گرفته شده است.
این بدافزار بسیار مبهم که “Trojan-Dropper.AndroidOS.Shopper.a” نام دارد، از یک آیکون سیستم به نام “ConfigAPKs” استفاده می‌کند. این نام مشابه نام یک سرویس قانونی اندروید است که مسئول پیکربندی برنامه‌ها در هنگام شروع به‌کار‌ دستگاه است.
پس از آلوده‌کردن دستگاه اندروید، این بدافزار payload را بارگیری و رمزگشایی می‌کند، سپس مستقیماً به جمع‌آوری اطلاعات دستگاه مانند کشور، نوع شبکه، فروشنده، مدل تلفن هوشمند، آدرس ایمیل، IMEI و IMSI می‌پردازد. این داده‌ها سپس به کارگزارهای اپراتور منتقل می‌شوند که یک سری دستورات را برای اجرا در تلفن هوشمند یا تبلت آلوده ارسال می‌کنند.
همه‌ی این کارها با سوءاستفاده از سرویس دسترسی انجام می‌شود. این سرویس، یک روش شناخته‌شده‌ است که توسط بدافزار اندرویدی برای انجام طیف گسترده‌ای از فعالیت‌های مخرب و بدون نیاز به تعامل کاربر بکار گرفته می‌شود. اگر تروجان، مجوزی برای دسترسی به این سرویس نداشته باشد، برای گرفتن آن‌ از صاحب دستگاه، از فیشینگ استفاده می‌کند.
این بدافزار همچنین سرویس محافظت از تهدید Google Play Protect را غیرفعال می‌کند. با استفاده از این سرویس، بدافزار تقریباً اختیار نامحدودی برای تعامل با رابط سیستم و برنامه‌ها دارد. به‌عنوان مثال‌، می‌تواند داده‌های نمایش داده‌شده روی صفحه را رهگیری کند‌ و دکمه‌های کلیک‌شده و حرکات کاربر را تقلید کند.
Shopper.a می‌تواند بسته به دستوراتی که دریافت می‌کند، یک یا چند کار زیر را انجام دهد:
• لینک‌های دریافت‌شده از سرور راه دور را در یک پنجره‌ی نامرئی باز کند (با این کار بدافزار تأیید می‌کند که کاربر به یک شبکه‌ی تلفن همراه وصل شده است).
• بعد از بازکردن تعداد مشخصی از قفل صفحه، خود را از فهرست برنامه‌ها مخفی کند.
• در دسترس‌بودن مجوز سرویس دسترسی را بررسی کند و در صورت عدم اعطای آن‌، به‌طور دوره‌ای درخواست فیشینگ را برای ارایه به کاربر ارسال کند.
• Google Play Protect را غیرفعال کند.
• در فهرست برنامه‌ها میانبرهایی را برای سایت‌های تبلیغاتی ایجاد کند.
• برنامه‌های تبلیغ‌شده را در Google Play باز کند و برای نصب آن‌ها کلیک کند.
• نظرات جعلی را از طرف کاربر Google Play ارسال کند.
• هنگام باز کردن صفحه، تبلیغات را نشان دهد.
• کاربران را از طریق حساب‌های گوگل یا فیس‌بوک خود در چندین برنامه ثبت کند.
علاوه‌براین، این تروجان با ارسال نظرات بسیار خوش‌بینانه، به افزایش محبوبیت سایر برنامه‌های مخرب در فروشگاه Play کمک می‌کند و برنامه‌های خاصی را نیز از فروشگاه شخص ثالث به نام “Apkpure [.] com” با اجازه‌ی قربانی نصب می‌کند.
به‌گفته‌ی محققان، روسیه با ۴۶/۲۸٪ بیشترین میزان آلودگی به این بدافزار را داراست و پس از آن کشورهای برزیل و هند به ترتیب با ۲۳/۲۳٪ و ۷۰/۱۸٪ در رتبه‌های دوم و سوم قرار دارند.
به کاربران توصیه می‌شود برای محافظت از خود در برابر چنین حملاتی، موارد احتیاطی زیر را رعایت کنند:
• سیستم‌عامل تلفن‌های همراه خود را همواره به‌روز نگه دارند.
• برنامه‌ها را فقط از منابع معتبر بارگیری کنند.
• هنگام نصب برنامه‌ها به نظرات کاربران توجه کنند.
• از یک آنتی‌ویروس مناسب استفاده کرده و آن‌را همواره به‌روز نگه دارند.