پنج سال پیش، محققان به کشفی تلخ دست یافتند: یک برنامه قانونی در فروشگاه Google Play مخفیانه توسط کتابخانه‌ای به یک برنامه مخرب تبدیل شده بود که توسعه دهندگان از آن برای کسب درآمد تبلیغاتی استفاده می‌کردند. بنابراین، برنامه با کدی آلوده شد که باعث شد ۱۰۰ میلیون دستگاه آلوده به سرور‌های کنترل شده توسط مهاجمان متصل شوند و برنامه‌های مخفی را دانلود کنند. اکنون، تاریخ تکرار شده است. 

محققان گزارش دادند که دو برنامه جدید را پیدا کرده اند که ۱۱ میلیون بار از Google Play دانلود شده و به همان خانواده بدافزار آلوده شده بودند. 

محققان کسپرسکی بر این باورند که یک کیت توسعه بدافزار برای یکپارچه‌سازی قابلیت‌های تبلیغاتی بار دیگر مسئول این اتفاق است.

کاردستی هوشمند

کیت‌های توسعه نرم‌افزار که معمولاً به عنوان SDK شناخته می‌شوند، برنامه‌هایی هستند که چارچوب‌هایی را در اختیار توسعه‌دهندگان قرار می‌دهند که می‌توانند با ساده‌سازی کار‌های تکراری، روند ایجاد برنامه را به طور چشمگیری سرعت بخشند. هنگامی که یک SDK به ظاهر نامعتبر مورد استفاده قرار می‌گیرد، می‌تواند از ارائه تبلیغات پشتیبانی کند. اما در پشت صحنه، مجموعه‌ای از روش‌های پیشرفته برای ارتباط مخفیانه با سرور‌های مخرب، آپلود اطلاعات کاربر، دانلود کد‌های مخرب و به روز رسانی آن در هر زمان ارائه می‌دهد. این خانواده بدافزار پنهان شده در هر دوی این ها به نام Necro شناخته می‌شود. اما این بار، برخی از انواع مختلف از تکنیک‌هایی مانند مخفی کاری استفاده می‌کنند، روشی مبهم که به ندرت در بدافزار‌های مشابه دیده می‌شود.

هنگامی که دستگاه‌ها به این بدافزار آلوده می‌شوند، به یک سرور فرمان و کنترل تحت نفوذ مهاجم متصل می‌شوند و درخواست‌های وب حاوی اطلاعات گزارش داده‌های رمزگذاری‌شده درباره هر دستگاه در معرض خطر را ارسال می‌کنند.

محققان توضیح دادند که ماژول SDK مخرب از نرم‌افزار پنهان‌کاری بسیار ساده، اما بسیار مؤثر استفاده می‌کند. این نرم افزار همچنین بار‌های بعدی را که نصب می‌شوند دانلود می‌کند که به نوبه خود افزونه‌های مخربی را دانلود می‌کنند که می‌توانند با هر دستگاه آلوده جداگانه ترکیب و مطابقت داده شوند تا اقدامات مختلفی را انجام دهند.

برنامه‌های آلوده

محققان برنامه‌های Necro را در دو برنامه در Google Play پیدا کردند. یکی از این اپلیکیشن‌ها Wuta Camera بود، اپلیکیشنی که تاکنون ۱۰ میلیون بار دانلود شده است.

نسخه‌های Wuta Camera حاوی یک SDK مخرب هستند که برنامه‌ها را آلوده می‌کند. این برنامه برای حذف مؤلفه مضر به روز شده است. یک برنامه جداگانه که حدود یک میلیون بار دانلود شده، معروف به Max Browser است. این برنامه دیگر در Google Play در دسترس نیست.

همچنین، محققان دریافتند که Necro انواع برنامه‌های اندروید موجود در بازار‌های جایگزین را آلوده می‌کند. در بیشتر موارد، این برنامه‌ها خود را به‌عنوان نسخه‌های اصلاح‌شده اپلیکیشن‌های قانونی مانند واتس‌اپ و دیگران تبلیغ می‌کنند. محققان تاکید کردند افرادی که نگران احتمال آلوده شدن به Necro هستند باید برنامه‌های خود را بررسی کنند و به برنامه‌های آنتی ویروس‌ها اعتماد نکنند! 

منبع: ارم نیوز