امروز: سه شنبه، 4 مهر 1396

 اخیرا نوعی از بدافزار کشف شده که بیش از 14 میلیون دستگاه اندرویدی در سراسر جهان را آلوده کرده است و متصدیان این بدافزار ظرف مدت دو ماه و نیم تقریبا 1.5 میلیون دلار از طریق درآمدهای تبلیغات جعلی بدست آورده اند.

این بدافزار که ملقب به CopyCat است، دارای قابلیت ریشه یابی دستگاه های آلوده، ایجاد ثبات و تزریق کد مخرب به Zygote (که به صورت خودکار مسئول راه اندازی برنامه ها در اندروید است) میباشد و دسترسی هکرها به دستگاه ها را به طور کامل فراهم می کند.

بیش از 14 میلیون دستگاه آلوده شده اند؛ که 8 میلیون از آنها root شده اند

به گفته محققان امنیتی در Check Point که این نوع از بدافزار را کشف کرده اند، بدافزار CopyCat

که 14 میلیون دستگاه را آلوده کرده است، تقریبا 8 میلیون از آنها را روت کرده، که 3.8 میلیون دستگاه را برای تبلیغات و 4.4 میلیون از آنها را برای سرقت اعتبار به منظور نصب برنامه برروی Google Play استفاده میکند.

در حالی که اکثر قربانیان بدافزار CopyCat در آسیای جنوبی و جنوب شرقی آسیب دیده اند و هند بیشترین آسیب را به خود اختصاص داده است، بیش از 280،000 دستگاه اندرویدی در ایالات متحده نیز آلوده شده اند.

در حالی که شواهدی وجود ندارد که نرم افزارهای مخرب CopyCat در Google Play منتشر شده باشند، محققان Check Point معتقدند که میلیون ها قربانی، از طریق دریافت برنامه های شخص ثالث و حملات فیشینگ آلوده شده اند.

بدافزار CopyCat نیز مانند Gooligan از "تکنولوژی پیشرفته" برای انجام انواع مختلف تقلب در تبلیغات استفاده می کند.

CopyCat از چندین بهره برداری، از جمله CVE-2013-6282 (VROOT)، CVE-2015-3636 (PingPongRoot) و CVE-2014-3153 (Towelroot) برای برخورد با دستگاه هایی که دارای اندروید نسخه پنج و بالاتر هستند استفاده میکند، که همه آنها به طور گسترده استفاده شده و بسیار قدیمی اند.

موفقیت پویش به وضوح نشان می دهد که میلیون ها نفر از کاربران اندروید همچنان به دستگاه های قدیمی، ناخود آگاه و پشتیبانی نشده متکی هستند.

نحوه آلودگی دستگاه های اندرویدی توسط CopyCat

CopyCat به عنوان یک برنامه محبوب آندروید که کاربران از فروشگاه های شخص ثالث دانلود می کند مخفی می شود. پس از دانلود، بدافزار شروع به جمع آوری اطلاعات در مورد دستگاه آلوده و دریافت روت کیت ها برای کمک به عملیات روت گوشی تلفن همراه قربانی می کند.

پس از روت کردن دستگاه اندروید، نرم افزارهای مخرب CopyCat حفاظت امنیتی را از دستگاه حذف می کنند و کد را به فرآیند راه اندازی برنامه Zygote تزریق می کنند تا برنامه های جعلی و تبلیغات را نمایش دهد و درآمد کسب کند.

محققان Check Point می گویند: "CopyCat از فرایند Zygote برای نمایش تبلیغات جعلی سوء استفاده مینماید و در حالی که منشاء خود را مخفی می نماید، درک این مساله را که چه چیزی تبلیغات را در صفحه نمایش ظاهر می کند، برای کاربران مشکل میسازد"

"CopyCat همچنین برنامه های جعلی را با استفاده از یک ماژول جداگانه به طور مستقیم به دستگاه نصب می کند. این فعالیت ها منافع  بسیار زیادی را برای تولیدکنندگان CopyCat، با توجه به تعداد زیادی از دستگاه های آلوده به بدافزار، تولید می کند."

حال که تنها دو ماه از این بازه زمانی میگذرد، نرم افزار مخرب CopyCat به هکرها کمک کرد که درآمد بیش از 1.5 میلیون دلار داشته باشند. اکثریت سود (بیش از 735،000 دلار) از تقریبا 4.9 میلیون  نصب جعلی برروی دستگاه های آلوده به دست آمد که تا 100 میلیون تبلیغات را نشان می دهد.

اکثر قربانیان در هند، پاکستان، بنگلادش، اندونزی و میانمار واقع شده اند، با این وجود بیش از 381،000 دستگاه در کانادا و بیش از 280،000 دستگاه در ایالات متحده با CopyCat آلوده شده اند.

شرکت تبلیغاتی چینی معتقد است که پشت پرده بدافزار CopyCat میباشد

در حالی که هیچ شواهد مستقیم در مورد افرادی که در پس پویش بدافزار CopyCat هستند وجود ندارد، محققان Check Point به یک شرکت تبلیغاتی چینی به عنوان مسئول احتمالی انتشار بدافزار اشاره کرده اند.

محققان چندین ارتباط بین CopyCat و شبکه تبلیغاتی چینی MobiSummer پیدا کرده اند، مانند:

  • نرم افزارهای مخرب CopyCat و MobiSummer در سرور مشابهی کار می کنند
  • چندین خط کد از CopyCat توسط MobiSummer امضا شده است
  • CopyCat و MobiSummer از خدمات از راه دور مشابهی استفاده می کنند
  • CopyCat کاربران چینی را با وجود این که بیش از نیمی از قربانیان، ساکن آسیا هستند، مورد هدف قرار نداده است

کاربران دستگاه های قدیمی تر اندروید هنوز نسبت به حمله CopyCat آسیب پذیر هستند، اما تنها در صورتی که برنامه های دریافتی از فروشگاه های برنامه های شخص ثالث را دانلود کنند.

در مارس 2017، محققان Check Point به گوگل در مورد پویش CopyCat اطلاع رسانی انجام دادند و غول تکنولوژی هم اکنون Play Protect را برای جلوگیری از بدافزار به روز رسانی کرده است.

بنابراین، کاربران حتی در دستگاه های قدیمی تر اندروید نیز از طریق Play Protect محافظت می شوند، که به طور مرتب همزمان با رشد بدافزارهایی نظیر CopyCat، به روز رسانی میشود.


ارسال نظر

ارسال نظر

عکس خوانده نمی شود