اپلیکیشنهای مخرب اندرویدی حاوی بدافزار Joker به آمار نیم میلیون نصب رسیدند
کمپین بدافزاری جدید با نفود به گوگل پلی از طریق اپلیکیشنهای متعدد، در دستگاههای هوشمند کاربران نصب میشود و هدف اصلی یعنی کلاهبرداری تبلیغاتی را انجام میدهد. بدافزار اصلی برای اجرای کمپین مورد نظر، Joker نام دارد. الکسیس کوپرینز، محقق تهدید امنیت سایبری شرکت CSIS Security Group هفتهی گذشته، اخبار ردگیری تروجان مذکور را به رسانههای اعلام کرد. او ادعا میکند که تاکنون ۲۴ اپلیکیشن اندرویدی آلوده به جوکر شناسایی شدهاند.
آمار گروه امنیتی نشان میدهد که اپلیکیشنهای مخرب تاکنون بیش از ۴۷۲ هزار بار در دستگاههای قربانی نصب شدهاند. این اپلیکیشنها حاوی بدافزاری بودند که نام جوکر توسط همین گروه امنیتی برای آن انتخاب شد. البته این نام به یکی از نامهای دامنهی سرور C2 یا Command-and-Control دستاندرکاران کمپین نفوذ نیز مرتبط میشود.
بدافزار جوکر با استفاده از کدهای جاوا اسکریپت حضور خود را در دستگاه قربانی مخفی میکند. بهعلاوه با تکنیکهای متعدد نیز کدهای بدافزار قفل میشوند. در بسیاری از موارد، بدافزار در فریمورکهای تبلیغاتی متصل به اپلیکیشنهای آلوده ادغام شده بود. کد این بدافزار شامل کاربردهای عمومی تروجانها همچون دزدیدن پیامک، اطلاعات مخاطبان و اطلاعات دستگاه میشود. البته جوکر یک قدم فراتر میرود و با اجرای کمپینهای تبلیغاتی در دستگاه قربانی، برای مجرم سایبری درآمد ایجاد میکند.
جوکر میتواند با شبیهسازی کلیک و ثبتنام مخفیانهی کاربر در سرویسهای پولی، با شبکههای تبلیغاتی و وبسایتها تعامل کند. بهعنوان مثال در برخی از دستگاههای قربانی در دانمارک، در سیستمی با هزینهی هفتگی هفت دلار ثبتنام انجام شد. شبیهسازی کلیک، استخراج پیامک تأیید از داخل دستگاه و اتصال به کدهای وبسایت مقصد، فرایندی بود که قربانی را بدون اطلاع خودش در سرویس پولی ثبتنام میکرد. در موارد دیگر، رویکرد سادهتری از سوی بدافزار انجام شده و شاید تنها پیامکی به سرویسهای پولی مخابراتی ارسال شود.
درحال حاضر ۳۷ کشور بهعنوان مقاصد حملهها و کمپینهای جوکر کشف شدهاند. از میان آنها میتوان به چین، بریتانیا، آلمان، فرانسه، سنگاپور و استرالیا اشاره کرد. بسیاری از اپلیکیشنهایی که توسط گروه امنیتی کشف شدند، شامل فهرستی از کدهای موبایل کشورهای گوناگون (MCC) هستند. جوکر برای فعالیت بهتر ابتدا شمارهی سیمکارت گوشی قربانی را پیدا میکند و سپس آن را با فهرست MCC تطبیق میدهد. بهعنوان مثال بسیاری از این اپلیکیشنها بدافزار را روی دستگاه کاربران آمریکایی و کانادایی نصب نمیکنند. البته برخی از آنها هم هیچ محدودیتی در اجرا در کشورهای گوناگون ندارند.
هنوز اطلاع زیادی از فرد یا گروه اجراکنندهی کمپین جوکر در دست نیست. البته رابط کاربری مدیریت C2 و برخی از کدهای موجود نشان میدهد که توسعهدهندههای بدافزار احتمالا چینی هستند. گوگل بهخاطر تعداد بالای نصب پیش از انتشار رسمی اخبار نفوذ جوکر از سوی گروه امنیتی، تمامی اپلیکیشنهای مخرب را از گوگل پلی حذف کرد. بههرحال اگر شما هریک از اپلیکیشنهای زیر را در دستگاه اندرویدی خود نصب کردهاید، تأکید میشود که در اولین فرصت آنها را حذف کنید:
رخداد کنونی، دومین مرتبه در هفتههای گذشته است که بدافزار در اپلیکیشنهای مشهور اندرویدی کشف میشود. در ماه اوت، کسپرسکی خبر از کشف بدافزار اندرویدی در اپلیکیشن مشهور CamScanner داد. کوپرینز در پایان اطلاعرسانی پیرامون کمپبن سایبری و بدافزار جوکر، به اهمیت مجوز در اپلیکیشنهای اندرویدی اشاره کرد. او تأکید میکند که کاربران هنگام نصب توجه زیادی به دسترسیهای مورد نظر اپلیکیشن داشته باشند. برخی از اپلیکیشنهای مخرب در همان مراحل نصب بهروشنی دسترسی به بخشهایی را درخواست کرده بودند که برای کارایی اصلی، نیازی به آنها نداشتند. هرگاه چنین مجوزهایی را در اپیکیشنهای اندرویدی و خصوصا انواع کوچک و کمتر شناختهشده مشاهده کردید، بهتر است دربارهی نصب آن تجدیدنظر کنید.