سايت خبری فناوری اطلاعات (ايتنا) 25 مرداد 1396 ساعت 11:51 https://www.itna.ir/news/49786/کشف-بیش-یک-هزار-برنامه-جاسوسی-گوگل-پلی -------------------------------------------------- عنوان : کشف بیش از یک هزار برنامه جاسوسی در گوگل پلی -------------------------------------------------- ایتنا-به تازگی یک هکر کاملا حرفه‌ای توانسته است بیش از هزاران اپلیکیشن مخرب را به برنامه های شخص ثالث و فروشگاه پرطرفدار گوگل پلی بیافزاید. متن : آیا شما هم جزء کسانی هستید که به گوگل پلی به عنوان یک فروشگاه امن اعتماد می کنید؟ اگر تصور شما بر این است که در زمان دانلود برنامه‌ها همه چیز به خوبی پیش می‌رود و امنیت شما برقرار است، بهتر است کمی بیشتر احتیاط کنید. به گزارش ایتنا از کسپرسکی آنلاین، به تازگی یک هکر کاملا حرفه‌ای توانسته است بیش از هزاران اپلیکیشن مخرب را به برنامه های شخص ثالث و فروشگاه پرطرفدار گوگل پلی بیافزاید. این برنامه‌های مخرب به گونه‌ای هستند که می‌توانند تقریبا بر تمام فعالیت‌های کاربر نظارت داشته باشند و آنها را مشاهده کنند. این نظارت‌ها شامل ذخیره تماس‌ها و برقراری تماس بدون اطلاع کاربران نیز می‌شود. محققان امنیتی Lookout بیش از یک هزار اپلیکیشن جاسوسی را کشف کردند. آنها بر این باور هستند این نرم افزارهای مخرب به عراق مرتبط می شوند. این بدافزار که به خانواده "SonicSpy" متعلق است از ماه فوریه ۲۰۱۷ از چندین راه مختلف وارد گوگل پلی شده است. این برنامه از طریق جا زدن خود به‌عنوان یک برنامه پیام‌رسان و پیشنهاد برقراری سرویس پیام‌رسانی گسترده می‌شده است. گوگل پس از گزارش برنامه‌های شناسایی شده توسط محققان امنیتی، سریعا آن ها را از فروشگاه حذف نمود. نحوه  عملکرد جاسوس افزارها به چه شکل است؟ یکی از برنامه‌‌های پیام‌ رسان آلوده‌ شده توسط SonicSpy که از طریق فروشگاه Google Play منتشر شده بود، به‌عنوان یک ابزار ارتباطی به نام Soniac شناخته می‌شود. اما نباید از عملکردهای SonicSpy به راحتی گذشت، این جاسوس افزار می تواند عملکردهای مخربی را بر روی سیستم کاربر داشته باشد. جاسوسی افزارهای SonicSpy می توانند در آنِ واحد فعالیت‌های مخربی را مثل ضبط کردن مکالمات و صداهای ضبط شده از طریق میکروفن به صورت مخفیانه، به اختیار گرفتن دوربین تلفن و عکس‌های مربوط به اسنپ، برقراری تماس با مخاطبین صاحب تلفن بدون اجازه او، فرستادن مسیج به لیستی که توسط مجرم انتخاب شده را داشته باشند. جاسوس افزارها علاوه بر دسترسی‌هایی که ذکر شد می‌توانند اطلاعات کاربر را همچون تاریخچه تماس‌ها، اطلاعات مخاطبان و اطلاعات مربوط به دستگاه های وای فایی که دستگاه آلوده قبلا به آن ها متصل شده است را به سرقت برند و توسط آن به راحتی می‌توانند کاربر را ردیابی و برای اهداف جاسوسی از آنها استفاده کنند. این تهدیدات توسط محققان امنیتی Lookout کشف شدند. محققان در تحقیقات خود سه نوع مختلف از برنامه‌‌های پیام ‌رسان آلوده‌شده توسط SonicSpy را در فروشگاه رسمی Google Play یافتند که هزاران بار از فروشگاه گوگل پلی دانلود شده‌اند. همانطور که در بالا به آن اشاره کردیم این جاسوس افزارها توسط محققان امنیتی شناسایی شدند که این برنامه‌ها شامل Soniac، Hulk Messenger و Troy Chat بودند و توسعه دهندگان آنها را حذف کردند اما متاسفانه این برنامه ها همچنان به طور گسترده در فروشگاه‌های شخص ثالث و به همراه دیگر برنامه‌های آلوده‌شده توسط SonicSpy وجود دارند. عراق با جاسوس افزار SonicSpy چه ارتباطی دارد؟ علت ارتباط دادن این بدافزار با عراق به دلیل شباهت بین SonicSpy و SpyNote است. SpyNote گونه ای دیگر از نرم‌افزارهای مخرب اندرویدی است که در سال گذشته شناسایی شد و به‌عنوان یک برنامهNetflix شناخته‌شده بود و گفته می‌شود توسط یک هکر عراقی نوشته شده است. محققان اعلام کرده‌اند که دلایل زیادی وجود دارد که نشان می‌دهد یک نفر پشت این دو بدافزار وجود دارد و آنها را به راه انداخته است، به طور مثال، شباهت در کدهای این دو گونه از نرم افزارها، استفاده از کدهای DNS پویا و اجرای آن بر روی پورت‌های غیر استاندارد ۲۲۲۲ نشان می‌دهد که یک هکر دست به این دو حمله زده است. در عین حال مهم‌ترین نشانه‌ای که محققان را از یکی بودن شخص پشت این حمله مطمئن می سازد نام اکانت سازنده ی SonicSpy است که برای هر دو iraqiwebservice بوده است و این اکانت بر روی فروشگاه گوگل پلی ثبت شده است. عملکرد جاسوس افزار Sonic چگونه است؟ زمانی که این اپلیکیشن بر روی دستگاه قربانی نصب می شود، Soniac آیکون خود را از روی دستگاه کاربر آلوده شده پاک می‌کند تا که شخص نتواند آن را مشاهده کند و از دید آن پنهان بماند و سپس به سرور command and control به منظور تلاش برای نصب یک برنامه تلگرام دستکاری ‌شده، اتصال برقرار می‌کند. در هر صورت این اپلیکیشن شامل نرم افزارهای مخربی است که به مجرم این امکان را می‌دهد که اداره جدید دستگاه را به دست بگیرد و اطلاعات زیادی را به منظور جاسوسی به سرقت ببرد. در حال حاضر این اپلیکیشن‌ها بین ۱۰۰۰ تا ۵۰۰۰ بار دانلود شده و توانسته هزاران کاربر را آلوده کند. امکان قرارگیری مجدد جاسوس افزارSonic بر روی گوگل پلی وجود دارد با وجود اینکه توسعه دهندگان فروشگاه گوگل پلی برنامه های مخرب را از فروشگاه حذف کرده اند اما با این حال هشدار داده‌اند که Sonic می تواند مجدد از راه های دیگر وارد شود و از هر ترفندی برای نفوذ استفاده کند. همانطور که در ماه گذشته مقاله مربوط به آن را منتشر کردیم، بدافزار Xavier توانسته بود در بیش از ۸۰۰ برنامه اندرویدی پنهان شود و میلیون‌ها بار ازفروشگاه گوگل پلی دانلود شود. اما امروزه مقالات امنیتی بسیاری در مورد نا امن بودن اپلیکیشن‌های گوگل پلی منتشر می‌شود. چه راهی برای در امان ماندن مقابل این بدافزارها وجود دارد؟ ۱. ساده‌ترین راه برای مقابله با چنین بدافزارهایی که در پشت اپلیکیشن‌ها پنهان می‌شوند این است که همیشه به گوش باشید و از دانلود اپلیکیشن‌هایی که آنها را نمی شناسید خودداری کنید و البته سعی کنید برنامه‌های برندهای معتبر را دانلود کنید. ۲. نظرات کاربرانی که قبلا برنامه‌ها را دانلود کرده‌اند را حتما بخوانید و البته به امتیازات داده شده توسط آنها هم توجه کنید. ۳. هرگز برنامه‌های خود را از منابع شخص ثالث دانلود نکنید. بیشتر کاربرانی که آلوده ‌شده‌اند این بدافزار را از منابع شخص ثالث دانلود کرده بودند. ۴. به شما اکیدا توصیه می‌کنیم که از یک راهکار امنیتی مناسب و البته قابل اعتماد برای دستگاه‌های خود استفاده کنید. اینترنت سکیوریتی کسپرسکی برای اندروید چنین بدافزارهایی را در فروشگاه‌های مختلف شناسایی و فعالیت آنها را مسدود خواهد کرد. فراموش نکنید که نرم‌افزار امنیتی خود را همیشه به روز نگه دارید تا بتواند از دستگاه‌های شما محافظت کند.