آلوده‌بودن صدها برنامه‌ی اندرويدی فروشگاه Google Paly به بدافزارهای ويندوزی

چهارشنبه ۱۷ مرداد ۱۳۹۷
گوگل 145 برنامه‌ی کاربردی را که آلوده به بدافزارهای ویندوزی بودند از فروشگاه Google Paly خود حذف کرده‌ است .
مرکز آپا شریف
SUT-APA-LOGO

گوگل 145 برنامه‌ی کاربردی را از فروشگاه Google Paly خود حذف کرده‌ است، زیرا محققان Palo Alto Networks کشف کردند که این برنامه‌ها آلوده به بدافزارهای ویندوزی هستند.
اکثر این بدافزارها از ماه اکتبر سال 2017 تا ماه نوامبر سال 2017 در فروشگاه Google Paly قرار گرفته‌اند. واقعیت نگران‌کننده این است که بسیاری از این برنامه‌ها بیش از شش ماه است که در Google Play قرار دارند. بلافاصله پس از گزارش Palo Alto Networks به گوگل، گوگل تمامی 145 برنامه‌ی آلوده را از لیست فروشگاه Google Play حذف کرد.
برخی از این برنامه‌های مخرب عبارتند از Men’s Design Ideas، Gymnastics Training Tutorial، Learn to Draw Clothing، Modification Trial، Hair Paint Color. برخی از آن‌ها بیش از 1000 بار دانلود شده‌‌اند و دارای رتبه‌ای با 4 ستاره هستند.
در مجموع، 145 برنامه‌ی مخرب شناسایی شده است. این فایل‌های APK تهدیدی برای دستگاه‌های اندرویدی به شمار نمی‌آیند، زیرا کد مخرب آن‌ها برای اجرا نیاز به سیستم ویندوزی دارد.
دلیل اینکه چرا برنامه‌های اندرویدی با بدافزارهای ویندوزی بارگذاری شده‌اند، نامشخص است. اما از آنجاییکه ترکیبی از برنامه‌های آلوده و غیرآلوده‌ از یک برنامه‌ساز یکسان مشاهده شده است، دلیل این امر می‌تواند محیطی باشد که برنامه‌ساز در آن برنامه را ساخته است. ممکن است برنامه‌ساز فایل‌های APK را بر روی یک سیستم ویندوزی آلوده به بدافزار ساخته باشد.
محققان ادعا می‌کنند چنین آلودگی‌هایی، تهدیدی برای کل زنجیره‌ی تأمین نرم‌افزار هستند، زیرا دری برای حملات گسترده‌تری مانند بدافزار KeRanger و NotPetya باز می‌کنند.
فایل‌های اجرایی قابل حمل (PE) مخرب مختلفی شناسایی شده‌اند که برنامه‌های مختلف را آلوده می‌سازند. دو فایل PE اصلی وجود دارد که بسیاری از برنامه‌های حذف‌شده را آلوده ساخته است:
یک فایل PE که 142 فایل APK را آلوده ساخته است.
فایل PE دوم که 21 فایل APK را آلوده ساخته است.
15 فایل APK شامل هر دو فایل PE هستند.
علاوه بر این فایل‌های PE، محققان چندین فایل‌ PE مخرب دیگر شناسایی کرده‌اند. این فایل‌های آلوده نشان‌دهنده‌ی آن هستند که ماشین‌هایی که برنامه‌سازان استفاده می‌کنند دارای آلودگی‌های جدی هستند.
در میان تمامی برنامه‌های مخربی که از Google Play حذف شده‌اند، یک فایل مخرب PE مشترک وجود دارد که تقریباً تمامی برنامه‌های اندرویدی را آلوده ساخته است و فعالیت مخرب این فایل PE، keylogging است.
در سیستم‌های ویندوزی، این key logger سعی می‌کند ضربات به صفحه‌کلید (keystroke) را که شامل اطلاعات حساسی همچون شماره‌ی کارت اعتباری، شماره امنیت اجتماعی و گذرواژه‌ها است را ثبت کند. در یک بدافزار ویندوزی، keylogger می‌تواند منجر به سرقت این اطلاعات حساس شود. علاوه‌براین، این فایل‌ها نام‌های خود را جعل می‌سازند تا خود را قانونی جلوه دهند. برخی از این نام‌ها عبارتند از “Android.exe”، “my music.exe”، “COPY_DOKKEP.exe”، “js.exe”، “gallery.exe”، “images.exe”، “msn.exe” و “css.exe”.
فایل‌های مخرب PE پس از اجرا بر روی سیستم‌های ویندوزی، فعالیت‌های مشکوک دیگری مانند تلاش برای خوابیدن طولانی مدت، تغییر رجیستری ویندوز و ایجاد فایل‌های اجرایی و مخفی، انجام می‌دهند.
فایل‌‌های مخرب PE نمی‌توانند مستقیماً بر روی بسترهای اندرویدی اجرا شوند. با این حال، اگر فایل APK بر روی یک ماشین ویندوزی باز شود و فایل‌های PE به‌طور تصادفی اجرا شوند یا برنامه‌سازان نرم‌افزار مبتنی بر ویندوز منتشر سازند یا اگر برنامه‌سازان آلوده به فایل‌های اجرایی مخرب قابل اجرا بر روی بسترهای اندرویدی باشند، وضعیت بدتر خواهد شد.
محیط ساخت و توسعه‌ی یک نرم‌افزار یکی از بخش‌های مهم چرخه‌ی توسعه‌ی آن نرم‌افزار است. برنامه‌سازان، همیشه باید ابتدا آن را امن سازند. در غیر اینصورت، دیگر اقدامات امنیتی می‌تواند بیهوده باشد.