محققان امنیتی آزمایشگاه کسپرسکی اعلام کردند برنامه‌های گوگل‌پلی که به تازگی با خانواده تروجان Ztorg آلوده شده‌اند، دیگر امتیازات ویژه در دستگاه‌های آلوده را درخواست نمی‌کنند. کسپرسکی در اواخر سال گذشته از محبوبیت بالای برنامه‌های آلوده به Ztorg در گوگل‌پلی هشدار داد، جایی که یکی از آن‌ها روزانه بیش از ۵۰ هزار بار بارگیری شد. میلیون‌ها کاربر، برنامه‌های مختلفی را که با تروجان آلوده شده‌اند، قبل از اینکه در فروشگاه رسمی برنامه منتشر شوند، بارگیری کرده‌اند.

در حال حاضر، شرکت‌های امنیتی می‌گوید برنامه‌های آلوده‌ای که اخیرا مشاهده شده‌اند، دیگر از بهره‌برداری‌ها برای دسترسی به امتیازات ویژه و ریشه در دستگاه‌های آلوده استفاده نمی‌کنند، هرچند که هنوز رفتارهای مخرب از خود نشان می‌دهند. کسپرسکی نشان می‌دهد که برنامه‌ها یک بسته تروجان پیامکی هستند که می‌توانند پیامک دارای حق شارژ را ارسال و پیام‌های دریافتی را حذف کنند. مرورگری با نام مجیک، یکی از برنامه‌هایی است که در تاریخ ۱۵ می سال ۲۰۱۷ میلادی در گوگل‌پلی بارگذاری شد و قبل از اینکه از فروشگاه حذف شود، بیش از ۵۰ هزار بار نصب شده است. برنامه دومی به نام آشکارساز نویز بیش از ۱۰ هزار بار بارگیری شد.

هر دو برنامه شامل یک نوع تروجان Ztorg هستند که برای جلوگیری از تجزیه و تحلیل توسط نرم‌افزارهای امنیتی، با انتظار به مدت ۱۰ دقیقه قبل از اولین تلاش برای تماس با کارگزار دستور و کنترل، طراحی شده است. این بدافزار دو درخواست GET را به کارگزار دستور و کنترل ارسال می‌کند و شامل بخشی از شناسه‌‌ی مشترک تلفن همراه بین‌المللی (IMSI) در هر دوی آن‌ها است. اولین درخواست، شامل سه رقم اول IMSI و همچنین MCC (کد کشور تلفن همراه) است در حالی که درخواست دوم شامل پنج رقم اول است که رقم‌های چهارم و پنجم، MNC (کد شبکه تلفن همراه) هستند. این موضوع به مجرمان سایبری اجازه می‌دهد تا کشور و اپراتور تلفن همراه کاربر را شناسایی کنند و تعیین می‌کند که برای کدام پیامک حق شارژ باید ارسال شود.

کارگزار با یک پرونده JSON رمزنگاری‌شده، با برخی از داده‌ها که شامل فهرستی از پیشنهادات است، پاسخ می‌دهد و هر پیشنهاد دارای یک فیلد رشته‌ای به نام url است که ممکن است شامل یک آدرس URL واقعی باشد. تروجان تلاش می‌کند تا فیلد را با استفاده از کلاس (نوع، دسته) خود باز کند و اگر مقدار یک آدرس URL باشد، محتوا به کاربر نمایش داده می‌شود. اگر فیلد حاوی داده‌های دیگر و زیرشاخه پیامکی باشد، پیامی حاوی متن تهیه شده به شماره‌ی ارائه‌شده ارسال می‌شود.

کسپرسکی توضیح می‌دهد تنها پس از دریافت آدرس‌های URL برای بازدید و یا پیام‌ها برای ارسال، تروجان صدای دستگاه را خاموش کرده و شروع به حذف همه پیام‌های دریافتی می‌کند. همچنین برنامه‌های مخربی با قابلیت‌های مشابه توزیع‌شده در‌ خارج از گوگل‌پلی کشف شده‌اند که به جای یک بدافزار مستقل، بیشتر به یک ماژول اضافی برای برخی از تروجان‌ها شباهت دارند. محققان کشف کردند که این تهدیدها توسط یک تروجان Ztorg معین همراه با دیگر ماژول‌های Ztorg نصب شده‌اند.

تجزیه و تحلیل پرونده‌های JS دریافت‌شده توسط این تروجان‌ها نشان داد که آن‌ها شامل تابعی به نام «getAocPage» هستند که به احتمال زیاد به AoC اشاره دارد. کسپرسکی می‌گوید این پرونده‌ها که برای انجام حملات کلیک‌ربایی به صفحات وب، با پرداخت صورتحساب WAP طراحی شده‌اند، به تروجان اجازه می‌دهند پول را از حساب تلفن همراه کاربر سرقت کند. تمام تروجان‌های مشاهده‌شده، از جمله آن‌هایی که در گوگل‌پلی هستند، برای ارسال پیام‌ها از دستگاه‌های آلوده تلاش می‌کنند. برای مثال، مرورگر مجیک تلاش می‌کند تا از ۱۱ مکان مختلف در کد آن، پیامک ارسال کند. این به این معنی است که می‌تواند پیام‌ها را در نسخه‌های مختلف اندروید و دستگاه‌ها ارسال کند.

محققان متذکر می‌شوند: «برنامه مرورگر مجیک به روشی مشابه با سایر تروجان‌های Ztorg ارتقاء یافته است. هر دو برنامه مرورگر مجیک و آشکارساز نویز، کد مشابهی با دیگر تروجان‌های Ztorg را به اشتراک می‌گذارند. علاوه بر این، آخرین نسخه برنامه آشکارساز نویز شامل یک پرونده رمزنگاری‌شده با نام girl.png است. پس از رمزگشایی، این پرونده به تروجان Ztorg تبدیل می‌شود.» محققان همچنین سایر تروجان‌ها را که قابلیت مشابهی دارند و توسط یک تروجان معمولی Ztorg نصب شده‌اند، کشف کردند. یک برنامه مخرب به نام تبدیل پول که در آوریل ۲۰۱۷ میلادی مشاهده شد، از سرویس‌های دسترسی برای نصب برنامه‌ها از گوگل‌پلی بدون تعامل با کاربر، حتی بدون دسترسی به ریشه استفاده می‌کند. این برنامه بیش از ۱۰هراز نصب در گوگل‌پلی داشته است.

کانال اخبار فناوری اطلاعات نماد امن

منبع: asis

درباره نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

تروجان پیامکی Ztorg برنامه‌های گوگل‌پلی را آلوده کرده است

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *