مرکز آپا دانشگاه کردستان

گزارشی درخصوص 9 برنامه مخرب اندرویدی Dropper در Google Play

طبق تحقیقات جدید شرکت امنیت سایبری Check Point Research (CPR)، یک بدافزار dropper از طریق 9 برنامه مخرب در فروشگاه رسمی Google Play گسترش یافته است. با این حال، تحلیلگر این شرکت، تمامی اطلاعات مربوط به dropper را بیان می کند که به Clast82 مشهور شده است و عمدتا از مجموعه‌ای از روش‌ها استفاده می‌کند تا بتواند چارچوب امنیتی و تشخیصی Google Play Protect detection را دور بزند. dropper در ابتدا یک مرحله ارزیابی را به طور کامل انجام می‌دهد، سپس از یک payload غیرمخرب به AlienBot Banker و MRAT تغییر ساختار می‌دهد. خانواده بدافزار AlienBot یک بدافزار به عنوان سرویس (MaaS) برای دستگاه‌های Android هستند که به طور کلی یک برنامه مخرب از راه دور را قادر می‌سازد که کد مخرب خود را به برنامه‌های مالی مجاز تزریق کند. پس از این فرایند، مهاجمین به حساب‌های قربانیان دسترسی پیدا می‌کنند و در نهایت کنترل دستگاه به دست آن‌ها خواهد بود. پس از کنترل کامل دستگاه، مهاجم توانایی کنترل عملکردهای خاص را به دست می‌آورد. جدول زمانی اعلام شده توسط محققان امنیت سایبری در زیر آورده شده است: • 27 ژانویه: اولین کشف • 28 ژانویه: گزارش به Google • 9 فوریه: تأیید اعتبار Google برای حذف همه برنامه های Clast82 از فروشگاه Google Play. برنامه‌های اندرویدی که از این طریق آلوده شده‌اند تقریباً دارای 15000 نصب بوده‌اند و در زیر لیستی از برنامه‌های آلوده ذکر شده آمده است: • BeatPlayer • Cake VPN • دو نسخه از eVPN • QR / Barcode Scanner MAX • Music Player • Pacific VPN • QRecorder • Tooltipnattorlibrary طبف گفته این تحلیلگر امنیتی این اپلیکیشن‌های مخرب را در تاریخ 29 ژانویه، یک روز پس از شناسایی، به Google گزارش کرده است و در تاریخ 9 فوریه، Google تایید کرده است که آنها را از فروشگاه Google Play حذف کرده است. تهیه و تدوین: تینا احمدی