اندکی پیش نسخه ای آلوده از بازی پرطرفدار Minecraft در فروشگاه رسمی گوگل کشف شده است که از دستگاه های اندرویدی کاربران به منظور ایجاد بد افزار بات نت ها یا botnets استفاده می کرد.
پژوهشگران مؤسسه امنیتی Symantec در هفته گذشته عنوان کردند، هشت نرم افزار در فروشگاه Google Play به بد افزار Sockbot آلوده شده اند و بر اساس آمارهای گوگل این نرم افزارها در بین ۶۰۰ هزار تا ۲٫۶ میلیون دستگاه مختلف نصب شده اند.
این مؤسسه امنیتی عنوان کرده است، این نرم افزارهای آلوده با استفاده از حفره های امنیتی Google Play موفق شده اند در این فروشگاه عرضه شوند. البته مهم ترین محصول آلوده در این فهرست، افزونه بازی بسیار محبوب Minecraft: Pocket Edition (PE) بوده است. با وجود آن که نسخه اصلی این بازی به هیچ بدافزاری آلوده نشده است، اما این افزونه با وعده ارائه skins برای شخصی سازی شخصیت اصلی بازی هزاران کاربر را آلوده کرده است.
تیم امنیتی Symantec اعتقاد دارند، هدف اصلی از ارائه این نرم افزارهای آلوده کسب درآمد غیر قانونی از تبلیغات بوده است. یکی از این نرم افزارها با سرورهای C&C ارتباط داشته است و توسط اتصال های SOCKS این سرور پیش از استفاده از سرور هدف، به نرم افزار فهرستی از تبلیغات و ابر داده ها را ارائه می کرده است تا تبلیغاتی هدفمند به نمایش گذاشته شوند.
با این حال هنگام نمایش تبلیغات، این نرم افزار غیر فعال می شود. از سوی دیگر با توجه به مصرف غیر عادی و بیش از حد این نرم افزار از شبکه اینترنت ممکن است نرم افزار مورد نظر هدف های دیگری را نیز دنبال می کرده است.
این نرم افزارها به بد افزار موسوم به Sockbot آلوده شده بودند که در گروه تروجان ها قرار می گیرد. این بد افزار با ایجاد SOCKS proxy به کسب درآمد غیر قانونی و ایجاد بات نت می پردازند.
مؤسسه Symantec در بیانیه رسمی خود عنوان کرده است: « به کارگیری توپولوژی proxy بسیار منعطف می تواند به راحتی گسترش داده شود و از برخی حفره های موجود در شبکه سوء استفاده کند و به این ترتیب برخی مشکلات بسیار بزرگ امنیتی را ایجاد کند. علاوه بر حملات خودسرانه به شبکه، در صورت گسترش سیستم های آلوده این امر می تواند در نهایت منجر به حملات distributed denial of service (DDoS) شود ».
این نرم افزارها به وسیله یک توسعه دهنده به نام FunBaster ایجاد شده بودند و وی از مبهم بودن کدها و همچنین رمزنگاری آن ها اطمینان حاصل کرده است. بنابراین مشخص نیست این نرم افزارهای آلوده چگونه توانسته اند از ابزارهای نظارتی و امنیتی گوگل عبور کنند و در فروشگاه Google Play عرضه شوند. علاوه بر آن این توسعه دهنده هر نرم افزار را با کلید توسعه دهنده جداگانه ای ارائه کرده بود.
پس از نصب، این نرم افزارها از کاربر مجوز swathe را درخواست می کند که شامل دسترسی به داده های GPS، Wi-Fi، داده اینترنت همراه، خواندن و نوشتن بر روی حافظه خارجی و نمایش اعلان ها می شود.
مهم ترین هدف این بد افزار کاربران آمریکایی بوده است با این حال قربانیانی از کشورهای روسیه، اکراین، برزیل و آلمان نیز مشاهده شده اند.
در نهایت باید گفت، مؤسسه Symantec در تاریخ ۶ اکتبر شرکت گوگل را از وجود این نرم افزارهای آلوده در Google Play آگاه کرده است و این شرکت نیز به سرعت این نرم افزارها را از فروشگاه خود حذف کرده است.
نظرات