کشف هفده برنامه‌ی iOS آلوده به تروجان Clicker در فروشگاه AppleApp 

سه‌شنبه ۱۲ آذر ۱۳۹۸
محققان Wandera هفده برنامه‌ی iOS آلوده به تروجان clicker، در فروشگاه رسمی Apple App کشف کرده‌اند.
مرکز آپا شریف
SUT-APA-LOGO

محققان Wandera هفده برنامه‌ی iOS آلوده به تروجان clicker، در فروشگاه رسمی Apple App کشف کرده‌اند. این برنامه‌های تلفن‌همراه توسط کارگزار کنترل و فرمان (C&C) سازماندهی شده‌اند تا تعاملات کاربر را شبیه‌سازی نمایند و از این طریق به کلاهبرداران اجازه دهند سود حاصل از تبلیغات را جمع‌آوری کنند.
ماژول تروجان clicker کشف‌شده در این گروه از برنامه‌های کاربردی، به‌منظور انجام کلاهبرداری تبلیغاتی در پس‌زمینه، مانند بازکردن مداوم صفحات وب یا بازکردن لینک‌ها بدون هرگونه تعامل کاربری، طراحی شده است. هدف اکثر تروجان‌های clicker، ایجاد درآمد برای مهاجم به ازای هر کلیک بر روی تبلیغات از طریق افزایش ترافیک وب‌سایت است.
این برنامه‌های آلوده در App Store در دسته‌های مختلف و در کشورهای مختلف توسط یک توسعه دهنده‌ی AppAspectTechnologies Pvt. Ltd. مستقر در هند،منتشر شده‌اند. همین توسعه‌دهنده، 51 برنامه‌کاربردی در AppStore منتشر ساخته است که 35 مورد از آن‌ها می‌توانند به‌ صورت رایگان دانلود شوند. AppAspectTechnologies 28 برنامه‌ی کاربردی نیز در Google Play منتشر ساخته است؛اما به همان کارگزار C&Cمتصل نمی‌شوند.
لیست برنامه‌‌های آلوده‌ی کشف‌شده در App Store به شرح زیر است:

  • RTO Vehicle Information
  • EMICalculator & Loan Planner
  • FileManager – Documents
  • Smart GPS Speedometer
  • CrickOne– Live Cricket Scores
  • Daily Fitness – Yoga Poses
  • FM Radio– Internet Radio
  • My TrainInfo – IRCTC & PNR
  • Around Me Place Finder
  • Easy Contacts Backup Manager
  • Ramadan Times 2019
  • Restaurant Finder – Find Food
  • BMI Calculator – BMR Calc
  • Dual Accounts
  • Video Editor – Mute Video
  • Islamic World – Qibla
  • Smart Video Compressor

 به گفته‌ی کارشناسان، تمامی این هفده برنامه‌ی آلوده به تروجان clicker، به یک کارگزار C&C متصل می‌شدند. کارگزار C&C برنامه‌های آلوده را قادر می‌سازد تا بررسی‌های امنیتی را دور بزنند، زیرا یک کانال ارتباطی مستقیم با مهاجم که درون مرور Apple وجود ندارد را فعال می‌سازد. کانال‌های C&C می‌توانند برای توزیع تبلیغات، دستورات و حتی خرابکاری‌ها (مانند یک فایل تصویرخراب، سند خراب یا غیره) مورد استفاده قرار گیرند. در واقع،  زیرساخت C&C، یک درب‌پشتی برای برنامه است که با کشف یک آسیب‌پذیری یا زمانیکه مهاجم تصمیم به فعال‌سازی کد اضافی(که ممکن است در برنامه‌ی اصلی مخفی باشد)دارد، می‌تواند منجر به سوءاستفاده شود.
 کارشناسان Wandera هنوز نتوانستند ارتباطات رمزگذاری‌شده‌ای که توسط برنامه‌ها با کارگزارC&C ایجاد شده است را کرک کنند.
این توسعه‌دهنده برنامه‌های اندرویدی آلوده‌ی دیگری نیز در Google Play داشته است که قبلاً حذف شده‌اند و مدتی بعد آن‌ها را دوباره، با حذف کد مخرب درونشان، منتشرساخت.
تکنیک‌های مشابه روش‌هایی که در این نمونه استفاده شده‌اند، نشان دهنده‌ی این است که هر روزنمونه‌های بدافزاری بیشتری به منابع رسمی برنامه‌های کاربردی معرفی می‌شوند و این امر مشتریان و افرادی که کسب و کارشان با تلفن همراه است را روزبه‌روز راحت‌تر دردسترس مهاجمان قرار می‌دهد. لذا توصیه می‌شود مشا‌غل تجاری مبتنی بر تلفن همراه ازبرخی انواع برنامه‌های امنیتی استفاده کنند تا از امن‌بودن برنامه‌ها، به ویژه آن‌هایی که رایگان هستند، مطمئن شوند.