چند پیامرسان صوتی جعلی در فروشگاه گوگلپلی شناسایی شدهاند که زمینه فعالیتهای مخرب را برای مجرمان سایبری فراهم میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Trend Micro چندین برنامه را در قالب پلتفرمهای پیامرسان صوتی قانونی در فروشگاه گوگلپلی مشاهده کردند که دارای قابلیتهای مخرب هستند.
نمونههای مختلف برنامههای مخرب مشاهدهشده از ماه اکتبر در گوگلپلی بارگذاری شدهاند که قابلیتهای آنها در هر نسخه تکامل یافتهاست. به نظر میرسد که مجرمان سایبری در حال افزودن ویژگیهای جدیدی هستند تا فعالیتهای مخربی ازجمله حملات باتنت انجام دهند.
بسیاری از این برنامههای جعلی از گوگلپلی حذف شدهاند. پژوهشگران Trend Micro برخی از نمونههای مخرب را تحلیل و بررسی کردهاند. در نمونههای بررسیشده، رفتار برنامه و نوع کدنویسی مشابه بودهاست که به نظر میرسد مجرمان سایبری در حال توسعه ماژولهای اضافی و انتشار برنامههای مخرب بیشتری هستند.
زمانی که برنامه مخرب روی گوشی قربانی نصب میشود، بدنه و payload را از سرور C&C دریافت میکند و آنرا رمزگذاری و اجرا میکند. این بدنه دارای سه ماژول است. ماژول اول که Icon نام دارد، آیکون برنامه را مخفی میکند تا از حذف برنامه توسط کاربر جلوگیری کند. ماژول دوم با نام Wpp میتواند مرورگر را باز کند و به آدرسهای دلخواه دسترسی یابد.
با استفاده از ماژول دوم، بدافزار یک فرم نظرسنجی را برای کاربر باز میکند تا به ازای ارائه کارتهای هدیه به قربانی، اطلاعات شخصی وی ازجمله نام، شمارههای تماس و آدرس محل سکونت را جمعآوری کند. این ماژول همچنین آگهیهای جعلی نیز به کاربر نشان میدهد.
ماژول سوم Socks نام دارد که برای انجام درخواستهای DNS طراحی شدهاست. با توجه به اینکه پژوهشگران ارتباطی با سرور مشاهده نکردند، بهنظر میرسد که این ویژگی در حال توسعه است. گوگل این برنامههای پیامرسان صوتی مخرب را از گوگلپلی حذف کردهاست.
دریافت صفحه با کد QR