کارشناسان امنیت سایبری از نفوذ بدافزاری به نام Fleckpe به اپلیکیشنهای پلی استور خبر دادند که تا کنون بیش از 620 هزار دانلود داشته است.
به گزارش افتانا به نقل از هکر نیوز، بدافزار اندروید جدیدی به نام Fleckpe در فروشگاه
گوگل پلی کشف شده است که از سال 2022 در مجموع بیش از 620 هزار بار دانلود شده است.
محققان کسپرسکی که 11 برنامه را در این فروشگاه رسمی شناسایی کرده است، گفت که این
بدافزار به عنوان برنامههای ویرایش عکس قانونی، دوربین و بستههای والپیپر گوشیهای هوشمند پنهان شده است. از آن زمان برنامهها به مرور حذف شدهاند.
این عملیات عمدتاً کاربران تایلندی را هدف قرار میدهد، اگرچه دادههای تله متری جمعآوری شده توسط شرکت
امنیت سایبری روسیه قربانیانی را در لهستان، مالزی، اندونزی و سنگاپور هم نشان داده است.
این برنامهها همچنین عملکرد وعده داده شده را برای جلوگیری از برافراشتن پرچمهای قرمز ارائه میدهند، اما هدف واقعی خود را میکنند. لیست برنامههای متخلف به شرح زیر است:
Beauty Camera Plus (com.beauty.camera.plus.photoeditor)
Beauty Photo Camera (com.apps.camera.photos)
Beauty Slimming Photo Editor (com.beauty.slimming.pro)
Fingertip Graffiti (com.draw.graffiti)
GIF Camera Editor (com.gif.camera.editor)
HD 4K Wallpaper (com.hd.h4ks.wallpaper)
Impressionism Pro Camera (com.impressionism.prozs.app)
Microclip Video Editor (com.microclip.vodeoeditor)
Night Mode Camera Pro (com.urox.opixe.nightcamreapro)
Photo Camera Editor (com.toolbox.photoeditor)
Photo Effect Editor (com.picture.pictureframe)
دیمیتری کالینین، محقق کسپرسکی گفت: وقتی برنامه شروع به کار کرد، یک کتابخانه بومی به شدت مبهم حاوی یک قطرهچکان مخرب بارگیری میکند که یک بار از داراییهای برنامه را رمزگشایی و اجرا میکند.
محموله، به نوبه خود، برای تماس با یک سرور راه دور و انتقال اطلاعات مربوط به دستگاه در معرض خطر (به عنوان مثال، کد کشور تلفن همراه و کد شبکه تلفن همراه) طراحی شده است که پس از آن سرور با یک صفحه اشتراک پولی پاسخ میدهد.
این بدافزار متعاقباً صفحه را در یک پنجره مرورگر وب نامرئی باز میکند و با سوءاستفاده از مجوزهای خود برای دسترسی به اعلانها و دریافت کد تأیید مورد نیاز برای تکمیل مرحله، تلاش میکند از طرف کاربر وارد شود.
به نشانهای که Fleckpe به طور فعال در حال توسعه است، نسخههای اخیر بدافزار بیشتر عملکردهای مخرب را به کتابخانه اصلی منتقل کردهاند تا از شناسایی توسط ابزارهای امنیتی فرار کنند.
کالینین خاطرنشان کرد: این بار فقط اعلانها را رهگیری میکند و صفحات وب را مشاهده میکند و به عنوان پل ارتباطی بین کد اصلی و مؤلفههای اندروید مورد نیاز برای خرید اشتراک عمل میکند.
برخلاف کتابخانه بومی، محموله تقریباً هیچ قابلیت فراری ندارد، اگرچه عوامل مخرب مقداری مبهمسازی کد را به آخرین نسخه اضافه کردند.
این اولین بار نیست که بدافزار اشتراکی در فروشگاه گوگل پلی یافت میشود. Fleckpe به دیگر خانوادههای بدافزارها مانند Joker (معروف به Bread یا Jocker) و Harly میپیوندد که مشترک دستگاههای آلوده به خدمات ممتاز ناخواسته و کلاهبرداری در صورتحساب هستند.
در حالی که چنین برنامههایی به اندازه جاسوسافزارها یا تروجانهای مالی خطرناک نیستند، اما همچنان میتوانند هزینههای غیرمجاز را متحمل شوند و توسط اپراتورهای آن برای جمعآوری طیف گستردهای از اطلاعات حساس و بهعنوان نقاط ورودی برای بدافزارهای شرورتر مورد استفاده قرار گیرند.
در هر صورت، این یافتهها نشانه دیگری است مبنی بر اینکه عوامل تهدید همچنان به کشف راههای جدیدی برای نفوذ پنهانی برنامههای خود به بازارهای رسمی برنامهها برای گسترش کمپینهای خود ادامه میدهند و از کاربران میخواهند هنگام دانلود برنامهها و اعطای مجوز به آنها احتیاط کنند.
کالینین گفت: پیچیدگی فزاینده تروجانها به آنها این امکان را داده است که با موفقیت از بسیاری از بررسیهای ضد بدافزاری که توسط بازارها پیادهسازی شدهاند دور بزنند و برای مدت طولانی ناشناخته باقی بمانند.
منبع:
The Hacker News