206 برنامه مخرب آندرویدی تبلیغ‌افزاری، که بیش از 150 میلیون بار از فروشگاه گوگل‌پلی دانلود شده ‌است.

206 برنامه مخرب آندرویدی تبلیغ‌افزاری، که بیش از 150 میلیون بار از فروشگاه گوگل‌پلی دانلود شده ‌است.

SimBad، کمپین تبلیغ‌افزاری گسترده که در فروشگاه گوگل‌پلی و در بیش از 200 برنامه مخرب که تقریبا 150 میلیون بار دانلود شده است، کشف شده است. اکثر برنامه‌های مخرب آلوده متعلق به دسته بازی‌های شبیه‌سازی هستند و موجب ایجاد تبلیغات بسیار آزاردهنده می‌شوند که در خارج از برنامه نمایش داده می‌شود که شناسایی آن را برای کاربران سخت‌تر می‌کند. SDK (کیت توسعه نرم افزار) مخرب "RXDrioder"، نقش مهمی در این کمپین ایفا می‌کند و توسط مهاجمان برای نمایش تعداد بیشتری از تبلیغات و به منظور تولید درآمد بیشتر استفاده می‌شود. کمپین تبلیغ‌افزاری SimBad به طور خاص هیچ کشوری را هدف قرار نداده است و این SDK ارائه‌شده توسط ‘addroider[.]com’ توانسته که توسعه‌دهندگان را فریب دهد تا از این SDK برای توسعه برنامه‌ها استفاده کنند. با توجه به تحقیقات checkpoint ، این برنامه رفتارهای مخرب زیادی از جمله موارد زیر را انجام داده است: • نمایش تبلیغات خارج از برنامه، مثلا زمانی که کاربر تلفن خود را باز کند یا از برنامه‌های دیگر استفاده می‌کند. • به طور مداوم بازکردن فروشگاه گوگل‌پلی یا 9Apps و هدایت به یک برنامه خاص دیگر، به طوری که توسعه دهنده می‌تواند از نصب و راه اندازی برنامه‌های دیگر سود ببرد. • پنهان‌کردن آیکون برنامه به منظور جلوگیری از حذف شدن آن توسط کاربر. • بازکردن یک مرورگر وب و رفتن به لینک‌های ارائه شده توسط توسعه‌دهنده برنامه. • دانلود فایل های APK و درخواست از کاربر برای نصب آن‌ها. • جستجوی یک کلمه ارائه‌شده توسط توسعه‌دهنده برنامه در Google Play. فرآیند آلوده‌سازی تبلیغ‌افزار Simbad هنگامی که برنامه‌های شامل این تبلیغ‌افزار روی تلفن همراه قربانیان نصب می‌شوند، SimBad خود را ثبت‌نام می‌کند تا اطمینان حاصل کند که برنامه نصب شده بر روی تلفن همراه قربانیان چه در حالت بوت و چه هنگام باز بودن قفل تلفن همراه، اجرا شود. بعد SimBad به سرور C&C متصل می‌شود تا دستورات مهاجم را برای انجام عملیات مخرب مختلف مانند حذف آیکون، سخت‌تر کردن حذف توسط کاربر و برگرداندن دوباره تبلیغات را دریافت کند. طبق نظر Checkpoint، تبلیغ‌افزار SimBad دارای قابلیت‌هایی است که می‌تواند به سه گروه تقسیم شود: • نمایش تبلیغات • فیشینگ • ارائه دیگر برنامه‌ها. با قابلیت باز کردن یک URL مشخص شده در مرورگر، مهاجم پشت این تبلیغ‌افزار می‌تواند صفحات فیشینگ را برای پلتفرم‌های مختلف ایجاد کند و آنها را در یک مرورگر باز کند، تا حملات spear-phishing را روی کاربران اجرا کند.