مرکز تخصصی آپا
شناسایی بیش از ۱۰۰۰ جاسوسافزار روی گوگلپلی
خلاصه: گروه امنیتی لوکآوت به تازگی یک جاسوسافزار اندرویدی کشف نموده که هزاران برنامه اندرویدی را روی گوگلپلی و دیگر بازارهای اندرویدی آلوده نموده است. این جاسوسافزار که SonicSpy نام گذاری شده است خود را به شکل برنامههای پیام رسان عرضه میکند و پس از نصب روی دستگاه قربانی تقریبا اختیار کامل دستگاه را به دست میگیرد.
همیشه برای حفظ امنیت تلفنهای همراه اندرویدی توصیه میشود که برنامههای مورد نیاز خود را از گوگلپلی دانلود کنند. اما گاهی هم خود گوگلپلی بستری برای گسترش بدافزارها میشود.
یک هکر با آلوده کردن بیش از هزار برنامه در گوگلپلی و دیگر بازارهای برنامههای کاربردی ویژگیهای مخرب زیادی را به بسیاری از برنامهها افزوده است. این برنامههای آلوده میتوانند همه کارهایی که روی تلفن همراه انجام میدهد را مانیتور کرده و کارهایی از قبیل ضبط صدا و تماس گرفتن با شمارههای مشخص بدون اطلاع کاربر انجام میدهند.
این بدافزار که SonicSpy نام دارد یک جاسوسافزار است که لااقل از ماه فوریه فعال بوده است و به صورت وسیعی بازارهای برنامههای کاربردی اندرویدی را آلوده نموده است. این جاسوسافزار خود را به عنوان یک برنامه پیامرسان جا میزند.
به محضی که این برنامه روی تلفن همراه قربانی نصب میشود، بدافزار بسیاری از کارهای مجرمانه را انجام میدهد. کارهایی از قبیل ضبط صدا و تماسها با استفاده از میکروفون، در دست گرفتن دوربین تلفن همراه و گرفتن تصاویر، تماس با شمارههای مشخص بدون اطلاع کاربر و ارسال پیامهای کوتاه به شمارههایی که مهاجم مشخص کرده از تواناییهای این جاسوسافزار است.
علاوه بر همه اینها این جاسوسافزار اطلاعات زیادی از قبیل لیست تماسها، لیست مخاطبان و اطلاعات شبکههای وایفای که دستگاه به آن متصل شده است را به منظور ردگیری مکان کاربر به سرقت میبرد. جاسوسافزار SonicSpy ۷۳ دستورالعمل از راه دور مختلف را پشتیبانی میکند که مهاجم میتواند از آنها برای تاثیر گذاشتن روی تلفن همراه قربانی استفاده کند.
این جاسوسافزار توسط گروه امنیتی لوکآوت کشف شده است. این گروه سه نسخه از برنامههای پیام رسان که روی گوگلپلی منتشر شده را کشف نمودهاند که هزاران بار دانلود شدهاند. این برنامهها که Soniac، Hulk Messenger و Troy Chat نام داشتند از روی گوگلپلی حذف شدهاند اما هنوز روی بازارهای دیگر ممکن است وجود داشته باشند.
محققان معتقدند که این بدافزار توسط یک هکر عراقی نوشته شده است. این مساله به دلیل شباهت این جاسوسافزار و بدافزار اندرویدی SpyNote است که در سال ۲۰۱۶ به صورت یک برنامه نتفلیکس منتشر شد و اعتقاد بر این بود که یک هکر عراقی آن را توسعه داده است.
یکی از برنامههایی که توسط این جاسوسافزار آلوده است پیامرسان Soniac است. زمانی که این برنامه نصب میشود برای پنهان ماندن از دید کاربر آیکون برنامه را حذف کرده و با ارتباط با سرور کنترل و فرمان یک نسخه اصلاح شده از تلگرام را نصب میکند. این برنامه بسیاری از ویژگیهای خرابکارانه را دارد که به هکر اجازه دسترسی تقریبا کامل را به دستگاه قربانی میدهد. قبل از پاک شدن این برنامه از گوگلپلی بین ۱۰۰۰ تا ۵۰۰۰ بار دانلود شده بود؛ اما با توجه به اینکه این جاسوسافزار نزدیک به ۱۰۰۰ برنامه مختلف را آلوده نموده است پیشبینی میشود هزاران دستگاه آلوده به این جاسوسافزار باشند.
با توجه به اینکه SonicSpy برنامههای زیادی را آلوده نموده است و توانسته مکانیزمهای امنیتی گوگلپلی را دور بزند، کارشناسان هشدار میدهد که ممکن است این بدافزار ممکن است دوباره در گوگلپلی ظاهر شود. گوگل تلاشهای زیادی برای کنترل امنیت برنامهها روی فروشگاه رسمی برنامه گوگلپلی میکند اما هنوز هم بدافزارهای زیادی به این بازار راه یافته و از این طریق منتشر میشوند.
همیشه یکی از توصیههای مهم در مورد حفظ امنیت دستگاههای اندرویدی دانلود برنامه تنها از گوگلپلی است. هر چند که این توصیه حتما مهم است اما لااقل در مواجهه با همچنین بدافزارهایی کافی نیست. علاوه بر رعایت این نکته باید سعی شود که برنامههای تولید شده توسط شرکتهای معتبر استفاده شود و در هنگام نصب برنامهها مجوزهایی که از کاربر درخواست میکند را بررسی کند که با ماهیت برنامه سازگار باشد. استفاده از ضد یدافزارها نیز میتواند کمک زیادی به حفظ امنیت دستگاههای اندرویدی کند.
امروزه تلفنهای هوشمند اطلاعات بالایی از ما دارند و عکسهای شخصی، پیامهای خصوصی و اطلاعات بانکی تنها گوشهای از اطلاعاتی است که در گوشی هوشمند ذخیره شده است. علاوه بر این تلفن همراه همیشه همراه کاربر بوده و با داشتن سنسورهای مختلف میتواند به اطلاعات زیادی دست پیدا کند. توجه نکردن به امنیت این دستگاهها میتواند کاربران را با مخاطرات زیادی روبرو کند.
