گوگل که از چند سال پیش با بدافزار مبارزه می کند ، از ابتدای سال 2021 تاکنون 164 بدافزار را بارگیری کرده است. این تبلیغات ساده ای هستند که قبلاً بیش از 10 میلیون بار بارگیری شده اند. انتظار می رود فروشگاه Play امسال پر سر و صدا باشد.

[보안뉴스 문가용 기자] گوگل 164 برنامه را از فروشگاه Play حذف کرده است. دلیل حذف این است که همه برنامه ها بیش از 10 میلیون بار بارگیری شده و در کمپین های تبلیغاتی مخرب استفاده شده اند. سال گذشته ، Google برنامه های زیادی را که از تبلیغات بیش از حد یا خارج از متن استفاده می کردند ، از اکوسیستم خود پیدا و حذف کرد. انتظار می رود این مبارزه امسال نیز ادامه یابد.

شرکت امنیتی WhiteOps آن را پیدا کرد و آن را به گوگل گزارش داد ، و آنالیز شد که برنامه هایی که این بار حذف شدند تقریباً از ظاهر طبیعی برنامه های محبوب تقلید می کنند و کاربران را گمراه می کنند. در صورت نصب تقلبی ، تبلیغات مختلف حتی بدون تلاش در دستگاه ظاهر می شوند. در مجموع 164 برنامه کاربردی وجود دارد و در این گزارش به آنها در مجموع CopyCatz گفته می شود. حتی اگر کاربر از برنامه استفاده نکند (یعنی صرف نظر از زمینه) ، بی وقفه تبلیغات را نمایش می دهد.

در فوریه سال گذشته ، Google حدود 600 برنامه مخرب را از فروشگاه Play پیدا و حذف کرد و سرانجام توسعه دهندگان را بیرون راند. با این وجود ، بازیگران مخرب از طرق مختلف به فروشگاه Play نفوذ می کنند و رفتار Google در “حذف برنامه های مخرب” به طور مرتب گزارش می شود. هنوز هم دشوار است که ببینید Play Store در برابر برنامه های مخرب مانند نرم افزارهای تبلیغاتی و جاسوسی محافظت می شود.

نکته مشترک این برنامه های Kopicats این بود که همه آنها با بسته ای به نام com.tdc.adservice در ارتباط بودند. همچنین توسط C&C Jason به میزبانی Dropbox کنترل می شد. البته دراپ باکس توسط مهاجمان “مورد استفاده قرار گرفت” اما موضوع به طور فعال در این حمله نقش نداشت. URL جیسون برای هر برنامه متفاوت است ، اما گفته می شود ساختار یکسان است. بنابراین ، بدون توجه به اینکه کدام برنامه نصب شده باشد ، چنین تبلیغاتی در فواصل زمانی مشابه ظاهر می شوند.

اولین برنامه ای که محققان پیدا کردند برنامه ای به نام Assistive Touch 2020 است. برنامه های معمولی با همین نام وجود دارد ، اما شماره “2020” در برنامه اصلی وجود ندارد. استفاده از نام یک برنامه ، سرویس یا وب سایت معمولی یکی از تکنیک های رایج مهاجمان سایبری است. این یک روش سنتی است ، اما برای شکستن فروشگاه Google Play به اندازه کافی موثر است.

وقتی Assistive Touch 2020 توسط قربانی نصب شود ، این برنامه با بسته com.tdc.adservice در ارتباط است. این یک نوع سرور C&C است و وقتی به یک برنامه نصب شده متصل شود ، پارامترها را ارسال می کند. با این کار دوره نمایش تبلیغ و نوع تبلیغ مشخص می شود. علاوه بر این ، این پارامتر بستری را تعیین می کند که برنامه در آن تبلیغات دریافت می کند. در این حالت چیزی در حدود دو ساعت اتفاق نمی افتد. این امر به منظور جلوگیری از احساس سریع مصرف کنندگان در مورد اشتباه است. علاوه بر این ، برنامه در لیست فعالیت های اخیر در برنامه ظاهر نمی شود.

با این حال ، این برنامه حتی حداقل از فناوری جهت گیری ردیابی یا ایجاد اختلال در تجزیه و تحلیل برخوردار نیست. “برنامه ریز منبع باز Evernote داخلی ، یک برنامه محبوب یادداشت برداری. این همان چیزی است که باعث تداوم حمله می شود. مانند Dropbox ، Evernote در حمله مورد سوited استفاده قرار می گیرد ، نه خود مهاجم. با کمی ردیابی از این کد منبع باز Evernote ، می بینید که کلاس AdsJob دارای یک دستگاه کنترل نوردهی آگهی است. “

یافتن همه برنامه های کاربردی در این مجموعه کار دشواری نبود ، زیرا هیچ مانعی برای تجزیه و تحلیل وجود نداشت. White Ops همه 164 برنامه را از طریق این گزارش منتشر کرد و به کاربران اندروید توصیه کرد نصب را بررسی کرده و آنها را حذف کنند. گزارش را می توان در اینجا مشاهده کرد (https://www.whiteops.com/blog/imitation-is-the-srainest-form-of- fraudery).

اگر شما یک افسر امنیتی هستید ، ممکن است ایده خوبی باشد که بر تمام ترافیک سازمان خود نظارت کرده و همه موارد ناشی از com.tdc.adserivce را مسدود کنید.

خلاصه 3 خط
1. گوگل و فروشگاه Play 164 برنامه مخرب را پیدا و حذف کردند.
2. تبلیغاتی که از طریق همه دستگاه های کاربران تبلیغات را نمایش می دهد.
3. کاربران فردی لیست 164 برنامه را بررسی کرده و آنها را حذف می کنند و کارمندان امنیتی ترافیک سایت com.tdc.adservice را مسدود می کنند.
[국제부 문가용 기자([email protected])]

www.boannews.com) پخش غیرمجاز-توزیع مجدد ممنوع>