ITanalyze

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ محققین کسپرسکی بتازگی بدافزاری را در اپ اندرویدیِ CamScanner پیدا کرده‌اند؛ یک پی‌دی‌اف‌سازِ موبایلی که شامل OCR (نویسه‌خوان نوری) شده و تا کنون در فروشگاه گوگل‌پلی بیش از 100 میلیون بار دانلودش کرده‌اند. فروشگاه‌های رسمی عرضه‌ی اپ مانند گوگل‌پلی معمولاً مطمئن‌ترین جاها برای دانلود نرم‌افزار به حساب می‌آیند اما متأسفانه هیچ‌چیز 100% قابل‌اطمینان نیست. هر چند وقت یک بار توزیع‌کنندگان بدافزار تصمیم می‌گیرند راه خود را فروشگاه‌هایی چون گوگل‌پلی باز کنند.  مشکل اینجاست که حتی گوگل که شرکت قدرتمندی است نمی‌تواند کل این چندین میلیون اپ را مورد بررسی و تحلیل قرار دهد. به یاد داشته باشید که بیشترِ این اپ‌ها مرتباً آپدیت می‌شوند و متعاقباً سطح نظارتی در گوگل‌پلی کم‌رنگ‌تر.

CamScanner در واقع یک اپ قانونی بود که هیچ قصد مخربی هم نداشت (البته تا مدتی). برای کسب درآمدش هم از تبلیغات استفاده می‌کرد و حتی خریدهای درون اپی هم برای کاربرانش تدارک دیده بود. با این حال، در یک مقطع زمانی سناریو تغییر کرد و نسخه‌های اخیر این اپ حاوی آرشیو تبلیغاتی شد که در خود، ماژول مخرب داشت.

محصولات کسپرسکی این ماژول را به عنوان Trojan-Dropper.AndroidOS.Necro.n شناسایی می‌کنند که البته در برخی اپ‌هایی که از پیش روی اسمارت‌فون‌های چینی نصب شده بودند نیز چنین تروجانی را شاهد بودیم. همانطور که از نامش پیداست، این ماژول یک تروجان دراپر[1] است؛ بدین‌معنا که ماژول مخرب دیگری را از فایل رمزگذاری‌شده (موجود در منابع اپ) استخراج و اجرا می‌کند. این بدافزارِ «دراپ‌شده» در عوض یک تروجان دانلودر[2] است که بسته به اینکه سازندگانش در لحظه چه نیتی دارند ماژول‌های آلوده‌ی بیشتری را دانلود می‌کند.

برای مثال، اپی با چنین کد آلوده‌ای شاید آگهی‌های تبلیغاتی بسیار آزاردهنده نشان دهد و کاربران را برای عضویت‌های پولی ثبت‌نام کند.

برخی کاربران اپ CamScanner تا همین الانش هم متوجه برخی رفتارهای مشکوک از آن شده لودند و در صفحه‌ی گوگل‌پلی این اپ نظراتی هم در این باره دادند؛ حتی هشدار هم دادند کسان دیگر از این اپ استفاده نکنند.

محققین کسپرسکی نسخه‌ی جدیدی از این اپ را بررسی کردند و درست در طی همین بررسی بود که آن ماژول مخرب را پیدا کردند. ما یافته‌های خود را به گوگل گزارش دادیم و اپ هم در جا از گوگل‌پلی برداشته شد. ظاهراً توسعه‌دهندگان اپ از شر این کد مخرب خلاص شدند (با به روز کردن این اپ). با این حال به یاد داشته باشید که نسخه‌های این اپ به ازای هر دستگاه مختلفی، متفاوت است و برخی از آن‌ها شاید هنوز در خود کد مخرب داشته باشند.

آنچه در داستان امروز آموختیم این است که هر اپی –حتی اگر از فروشگاهی رسمی عرضه شده باشد و اسم و رسم‌دار هم باشد و حتی اگر میلیون‌ها نظر مثبت هم گرفته باشد- می‌تواند یک‌شبه تبدیل به بدافزار شود. هر اپی تنها یک آپدیت با تغییری ناگهانی فاصله دارد. برای اینکه مطمئن شوید هیچوقت قربانی چنین مسائلی نمی‌شوید پیشنهاد می‌دهیم از آنتی‌ویروس مطمئنی برای اپ‌های اندرویدی استفاده کرده و همچنین اسمارت‌فون خود را هر چند وقت یکبار اسکن کنید (نسخه‌ی پولی کسپرسکی اینترنت سکیوریتی برای اندروید به طور خودکار اسکن را انجام خواهد داد). 

[1] Trojan Dropper

[2] Trojan Downloader

منبع: کسپرسکی آنلاین