بدافزار جودی بیش از 36 میلیون دستگاه اندرویدی را آلوده کرد

خبرنامه دانشجویان ایران: پژوهشگران امنیتی بر این باور هستند که بزرگ‌ترین کمپین بدافزاری را در فروشگاه گوگل پلی شناسایی کرده‌اند. کمپینی که تا به امروز موفق شد، 36.5 میلیون دستگاه اندرویدی را از طریق نرم‌افزارهای تبلیغ-کلیکی آلوده سازد.

به گزارش «خبرنامه دانشجویان ایران» به نقل از شبکه؛ کارشناسان امنیتی به تازگی گزارش کرده‌اند اوایل هفته جاری 41 برنامه کاربردی را که منتصب به یک شرکت کره‌ای است در فروشگاه گوگل پلی شناسایی کرده‌اند. تمامی این برنامه‌ها تبلیغات جعلی را در نرم‌افزارها و دستگاه‌های قربانی پخش می‌کردند و به این شکل سود سرشاری را عاید توسعه‌دهندگان این تبلیغات مخرب می‌کردند.

در همه این برنامه‌های مخرب یک برنامه تبلیغاتی مخرب به نام جودی (Judy) شناسایی شده است. این برنامه تبلیغاتی کلیک‌های جعلی را از روی دستگاه قربانی ایجاد می‌کند. همه این برنامه‌های مخرب از سوی یک شرکت کره‌ای به نام Kiniwini طراحی شده‌اند و تحت نام شرکت ENISTUDIO Corp انتشار پیدا کرده است. در تمامی این برنامه‌ها  یک برنامه تبلیغاتی مزاحم قرار گرفته که قادر است کلیک‌های جعلی را ایجاد کرده و به این شکل برای توسعه‌دهندگان خود درآمدزایی کند.

اما کار به همین جا ختم نمی‌شود. پژوهشگران همچنین موفق شده‌اند تعداد دیگری برنامه کاربردی که از سوی طراحان دیگری نوشته شده و روی پلی استور انتشار پیدا کرده است را کشف کنند. عملکرد این برنامه‌ها نیز مشابه با برنامه تبلیغاتی مزاحم جودی بوده و به یک شکل کار می‌کند. با این وجود کارشناسان هنوز موفق نشده‌اند ارتباط میان این دو کمپین را شناسایی کنند. اما این احتمال وجود دارد که توسعه‌دهندگان این دو کمپین کدهای مخرب را دانسته یا ندانسته با یکدیگر به اشتراک قرار داده باشند. پژوهشگران امنیتی در این ارتباط گفته‌اند: «غیرمنطقی است اگر بتوانیم یک سازمان واقعی را در پس‌زمینه بدافزارهای مخرب تلفن‌همراه پیدا کنیم. طیف گسترده‌ای از این بدافزارها از سوی هکرهای واقعی طراحی می‌شوند.» برنامه‌هایی که در پلی استور قرار گرفته‌اند به طور مستقیم دارای هیچ‌گونه کد مخربی نیستند و همین موضوع باعث شده است این برنامه‌ها از راه‌کار امنیتی گوگل موسوم به Google Bouncer بگریزند.

هنگامی که بدافزاری دانلود می‌شود، برنامه در اختفای کامل دستگاه قربانی را در سرور کنترل و فرمان‌دهی ثبت می‌کند و در ادامه به انتظار می‌نشیند تا از جانب سرور پاسخی را دریافت کند. در ادامه سرور فرمان‌ها و بارداده‌ها (payload) را برای آغاز به کار عملیات مخرب برای دستگاه قربانی ارسال می‌کند. این کدهای مخرب مشتمل بر کدهای جاوااسکریپتی هستند که برای آغاز یک فرآیند مخرب مورد استفاده قرار می‌گیرند. پژوهشگران امنیتی گفته‌اند: «بدافزار از طریق عامل کاربری (user agent) آدرس‌های اینترنتی را باز می‌کنند. این آدرس‌ها یک صفحه مخفی را باز کرده و دستگاه قربانی را به سمت سایت دیگری هدایت می‌کنند. زمانی که سایت هدف با موفقیت باز شد، بدافزار از کدهای جاوااسکریپت برای مکان‌یابی و کلیک کردن روی بنرهای تبلیغاتی استفاده می‌کند. برای این منظور بدافزار فوق از زیرساخت شبکه تبلیغاتی گوگل استفاده می‌کند.»

این برنامه‌های مخرب در حقیقت بازی‌های معتبر و قانونی هستند، اما در پس‌زمینه نقش پلی ار بازی می‌کنند که دستگاه قربانی را به سرور تبلیغاتی متصل می‌کنند. برنامه‌های مخربی که پژوهشگران امنیتی موفق شده‌اند در فروشگاه پلی استور آن‌ها را شناسایی کنند آخرین مرتبه در آوریل سال جاری میلادی به‌روزرسانی شده‌اند. این موضوع نشان می‌دهد که این برنامه‌های تبلیغاتی حداقل به مدت یک سال است که به این شیوع فعالیت کرده و کاربران را قربانی خود ساخته‌اند. گوگل پس از اطلاع از این موضوع تمامی این برنامه‌های مخرب را از فروشگاه خود حذف کرده است، اما بدو شک مکانیزم Google Bouncer به تنهایی این پتانسیل را ندارد تا مانع ورود چنین برنامه‌هایی به فروشگاه رسمی گوگل شود، در نتیجه بهتر است پیش از دانلود و نصب برنامه‌ها ابتدا از اصالت و ایمنی برنامه‌ها اطمینان حاصل کنید.