به گزارش مهر به نقل از مرکز افتای ریاست جمهوری، پژوهشگران Trend Micro چندین برنامه در قالب پلتفرمهای پیامرسان صوتی قانونی را در فروشگاه Google Play مشاهده کردند که دارای قابلیتهای مخرب هستند.
نمونههای مختلف برنامههای مخرب مشاهده شده از ماه اکتبر در گوگل پلی بارگذاری شدهاند که قابلیتهای آنها در هر نسخه تکامل یافته است. به نظر میرسد که مجرمین سایبری در حال افزودن ویژگیهای جدیدی هستند تا فعالیتهای مخربی از جمله حملات باتنت انجام دهند.
بسیاری از این برنامههای جعلی از Google Play حذف شدهاند.
پژوهشگران Trend Micro برخی از نمونههای مخرب را مورد تحلیل و بررسی قرار دادهاند. در نمونههای بررسی شده، رفتار برنامه و نوع کدنویسی مشابه بوده است که به نظر میرسد مجرمین سایبری در حال توسعه ماژولهای اضافی و انتشار برنامههای مخرب بیشتری هستند.
زمانی که برنامه مخرب روی گوشی قربانی نصب میشود، بدنه و payload را از سرور C&C دریافت میکند و آنرا رمزگذاری و اجرا میکند. این بدنه دارای سه ماژول است. ماژول اول که Icon نام دارد، آیکون برنامه را مخفی میکند تا از حذف برنامه توسط کاربر جلوگیری کند. ماژول دوم، با نام Wpp، میتواند مرورگر را باز کند و به آدرسهای دلخواه دسترسی یابد.
با استفاده از ماژول دوم، بدافزار یک فرم نظرسنجی را برای کاربر باز میکند تا به ازای ارائه کارتهای هدیه به قربانی، اطلاعات شخصی وی از جمله نام، شمارههای تماس و آدرس محل سکونت را جمعآوری کند. این ماژول همچنین آگهیهای جعلی نیز به کاربر نشان میدهد.
ماژول سوم Socks نام دارد که برای انجام درخواستهای DNS طراحی شده است. با توجه به اینکه پژوهشگران ارتباطی با سرور مشاهده نکردند، بنظر میرسد که این ویژگی در حال توسعه است.
گوگل این برنامههای پیامرسان صوتی مخرب را از Google Play حذف کرده است.
- 14
- 6
