کد QR مطلبدریافت صفحه با کد QR

بدافزاری که به گوگل پلی راه پیدا کرد

15 مرداد 1402 ساعت 12:40

دو بدافزار جدید در گوگل پلی کشف شده است که می‌تواند اطلاعات قربانیان را سرقت کند.


دو بدافزار جدید در گوگل پلی کشف شده است که می‌تواند اطلاعات قربانیان را سرقت کند.
 
به گزارش افتانا به نقل از بلیپینگ کامپیوتر، دو خانواده بدافزار جدید اندرویدی به نام‌های CherryBlos و FakeTrade در Google Play کشف شدند که هدفشان سرقت اعتبارنامه ارزهای دیجیتال و سرقت وجوه یا کلاهبرداری بود. گونه‌های بدافزار جدید توسط Trend Micro کشف شدند که هر دو را با استفاده از زیرساخت‌های شبکه و گواهی‌های مشابه مشاهده کردند که نشان می‌دهد عوامل تهدید یکسانی آنها را ایجاد کرده‌اند. برنامه‌های مخرب از کانال‌های توزیع مختلف، از جمله رسانه‌های اجتماعی، سایت‌های فیشینگ و برنامه‌های خرید فریبنده در Google Play، فروشگاه برنامه رسمی اندروید استفاده می‌کنند.
 
بدافزار CherryBlos برای اولین بار در آوریل ۲۰۲۳، در قالب یک فایل APK (بسته اندرویدی) که در تلگرام، توییتر و یوتیوب تبلیغ شده بود، تحت پوشش ابزارهای هوش مصنوعی یا استخراج‌کننده سکه توزیع شد.
 
ویدیوی یوتیوب در حال تبلیغ یک برنامه حامل CherryBlos (Trend Micro) نام‌های مورد استفاده برای APKهای مخرب GPTalk، Happy Miner، Robot999، و SynthNet هستند که از وب‌سایت‌های زیر با نام‌های دامنه منطبق دانلود شده‌اند:
 
•    chatgptc[.]io
•    happyminer[.]com
•    robot999[.]net
•    synthnet[.]ai
 
یک برنامه مخرب Synthnet نیز در فروشگاه Google Play آپلود شد، و قبل از آنکه گزارش و حذف شود، تقریباً هزار بار دانلود شد. CherryBlos یک دزد ارز دیجیتال است که از مجوزهای سرویس Accessibility برای دریافت دو فایل پیکربندی از سرور C2، تأیید خودکار مجوزهای اضافی و جلوگیری از کشتن برنامه تروجان شده توسط کاربر سوء استفاده می‌کند.
 
CherryBlos از طیف وسیعی از تاکتیک‌ها برای سرقت اعتبار و دارایی‌های ارزهای دیجیتال استفاده می‌کند که تاکتیک اصلی آن بارگذاری رابط‌های کاربری جعلی است که از برنامه‌های رسمی تقلید می‌کنند تا با استفاده از فیشینگ، اعتبارنامه دریافت کنند.
 
اما یک ویژگی جالب‌تر، استفاده از OCR است. به عنوان مثال، هنگام راه‌اندازی کیف پول‌های ارز دیجیتال جدید به کاربران عبارت/رمز عبور بازیابی شامل ۱۲ کلمه یا بیشتر داده می‌شود که می‌تواند برای بازیابی کیف پول در رایانه استفاده شود. برخی کاربران از این رمز، عکس می‌گیرند، هر چند این کار توصیه نمی‌شود. این بدافزار می‌تواند با استفاده از OCR، رمز را از این عکس‌ها استخراج کند.
 
تحلیلگران Trend Micro اتصالاتی به یک کمپین در Google Play پیدا کردند که در آن ۳۱ برنامه کلاهبرداری که مجموعاً "FakeTrade" نامیده می‌شود از زیرساخت‌ها و گواهی‌های شبکه C2 یکسان با برنامه‌های CherryBlos استفاده می‌کردند. این برنامه‌ها از تم‌های خرید یا فریب‌های پول‌سازی استفاده می‌کنند که کاربران را فریب می‌دهد تا تبلیغات تماشا کنند، با اشتراک‌های ممتاز موافقت کنند، یا کیف پول درون‌برنامه‌ای خود را پر کنند و هرگز به آن‌ها اجازه دریافت پاداش‌های مجازی را ندهند.
 
این برنامه‌ها از رابط کاربری مشابهی استفاده می‌کنند و عموماً کاربران مالزی، ویتنام، اندونزی، فیلیپین، اوگاندا و مکزیک را هدف قرار می‌دهند در حالی که بیشتر آنها بین سال‌های ۲۰۲۱ تا ۲۰۲۲ در Google Play آپلود شده‌اند. گوگل به BleepingComputer گفت: «ما ادعاهای امنیتی و حریم خصوصی علیه برنامه‌ها را جدی می‌گیریم و اگر اپلیکیشنی سیاست‌های ما را نقض کرده باشد، اقدام مناسب را انجام خواهیم داد». اما از آنجا که تا به حال هزاران کاربر این اپ‌ها را دانلود کرده‌اند، پاک کردن دستی آنها از روی دستگاه لازم است.

منبع: Bleeping Computer


کد مطلب: 21220

آدرس مطلب :
https://www.aftana.ir/news/21220/بدافزاری-گوگل-پلی-راه-پیدا

افتانا
  https://www.aftana.ir