اپلیکیشن‌های مخرب اندرویدی حاوی بدافزار Joker به آمار نیم میلیون نصب رسیدند

کمپین بدافزاری جدید با نفود به گوگل پلی از طریق اپلیکیشن‌های متعدد، در دستگاه‌های هوشمند کاربران نصب می‌شود و هدف اصلی یعنی کلاهبرداری تبلیغاتی را انجام می‌دهد. بدافزار اصلی برای اجرای کمپین مورد نظر، Joker نام دارد. الکسیس کوپرینز، محقق تهدید امنیت سایبری شرکت CSIS Security Group هفته‌ی گذشته، اخبار ردگیری تروجان مذکور را به رسانه‌های اعلام کرد. او ادعا می‌کند که تاکنون ۲۴ اپلیکیشن اندرویدی آلوده به جوکر شناسایی شده‌اند.

آمار گروه امنیتی نشان می‌دهد که اپلیکیشن‌های مخرب تاکنون بیش از ۴۷۲ هزار بار در دستگا‌ه‌های قربانی نصب شده‌اند. این اپلیکیشن‌ها حاوی بدافزاری بودند که نام جوکر توسط همین گروه امنیتی برای آن انتخاب شد. البته این نام به یکی از نام‌های دامنه‌ی سرور C2 یا Command-and-Control دست‌اندرکاران کمپین نفوذ نیز مرتبط می‌شود.

جوکر می‌تواند با شبیه‌سازی کلیک و ثبت‌نام مخفیانه‌ی کاربر در سرویس‌های پولی، با شبکه‌های تبلیغاتی و وب‌سایت‌ها تعامل کند. به‌عنوان مثال در برخی از دستگاه‌های قربانی در دانمارک، در سیستمی با هزینه‌ی هفتگی هفت دلار ثبت‌نام انجام شد. شبیه‌سازی کلیک، استخراج پیامک تأیید از داخل دستگاه و اتصال به کدهای وب‌سایت مقصد، فرایندی بود که قربانی را بدون اطلاع خودش در سرویس پولی ثبت‌نام می‌کرد. در موارد دیگر، رویکرد ساده‌تری از سوی بدافزار انجام شده و شاید تنها پیامکی به سرویس‌های پولی مخابراتی ارسال شود.

درحال حاضر ۳۷ کشور به‌عنوان مقاصد حمله‌ها و کمپین‌های جوکر کشف شده‌اند. از میان آن‌ها می‌توان به چین، بریتانیا، آلمان، فرانسه، سنگاپور و استرالیا اشاره کرد. بسیاری از اپلیکیشن‌هایی که توسط گروه امنیتی کشف شدند، شامل فهرستی از کدهای موبایل کشورهای گوناگون (MCC) هستند. جوکر برای فعالیت بهتر ابتدا شماره‌ی سیم‌کارت گوشی قربانی را پیدا می‌کند و سپس آن را با فهرست MCC تطبیق می‌دهد. به‌عنوان مثال بسیاری از این اپلیکیشن‌ها بدافزار را روی دستگاه کاربران آمریکایی و کانادایی نصب نمی‌کنند. البته برخی از آن‌ها هم هیچ محدودیتی در اجرا در کشورهای گوناگون ندارند.

هنوز اطلاع زیادی از فرد یا گروه اجراکننده‌ی کمپین جوکر در دست نیست. البته رابط کاربری مدیریت C2 و برخی از کدهای موجود نشان می‌دهد که توسعه‌دهنده‌های بدافزار احتمالا چینی هستند. گوگل به‌خاطر تعداد بالای نصب پیش از انتشار رسمی اخبار نفوذ جوکر از سوی گروه امنیتی، تمامی اپلیکیشن‌های مخرب را از گوگل پلی حذف کرد. به‌هرحال اگر شما هریک از اپلیکیشن‌های زیر را در دستگاه اندرویدی خود نصب کرده‌اید، تأکید می‌شود که در اولین فرصت آن‌ها را حذف کنید:

رخداد کنونی، دومین مرتبه در هفته‌های گذشته است که بدافزار در اپلیکیشن‌های مشهور اندرویدی کشف می‌شود. در ماه اوت، کسپرسکی خبر از کشف بدافزار اندرویدی در اپلیکیشن مشهور CamScanner داد. کوپرینز در پایان اطلاع‌رسانی پیرامون کمپبن سایبری و بدافزار جوکر، به اهمیت مجوز در اپلیکیشن‌های اندرویدی اشاره کرد. او تأکید می‌کند که کاربران هنگام نصب توجه زیادی به دسترسی‌های مورد نظر اپلیکیشن داشته باشند. برخی از اپلیکیشن‌های مخرب در همان مراحل نصب به‌روشنی دسترسی به بخش‌هایی را درخواست کرده بودند که برای کارایی اصلی، نیازی به آن‌ها نداشتند. هرگاه چنین مجوزهایی را در اپیکیشن‌های اندرویدی و خصوصا انواع کوچک و کمتر شناخته‌شده مشاهده کردید، بهتر است درباره‌ی نصب آن تجدیدنظر کنید.