محمد بختیاری

بدافزارهای یک کمپین تبلیغاتی کلاه‌برداری بیش‌از ۱۳ میلیون‌بار ازطریق گوگل‌پلی و اپ‌استور نصب شده‌اند

علاوه‌بر سیل تبلیغات فراوانی که هر روز به کاربران گوشی‌های هوشمند نمایش داده می‌شوند، برنامه‌های تقلبی نیز با جعل‌هویت اپلیکیشن‌های محبوب سعی دارند با نمایش تبلیغات آشکار و پنهان، کسب درآمد کنند. اگرچه این‌نوع برنامه‌ها به‌عنوان تهدید جدی درنظر گرفته نمی‌شوند، اما سازندگان می‌توانند برای فعالیت‌های خطرناک از آن‌ها بهره ببرند.

تیم امنیتی Satori Threat Intelligence HUMAN مجموعه‌ای از برنامه‌های گوشی‌های هوشمند را شناسایی کرده است که درواقع بخشی از یک کمپین جدید کلاه‌برداری تبلیغاتی موسوم به Scylla هستند.

به‌نوشته‌ی BleepingComputer، تحلیل‌گران باور دارند که Scylla درواقع موج سوم عملیاتی است که اولین‌بار با نام Poseidon در آگوست ۲۰۱۹ شناسایی شد. موج دوم این کمپین Charybdis نام داشت که اواخر سال ۲۰۲۰ به‌اوج فعالیت خود رسید.

برنامه‌های کلاه‌برداری تبلیغاتی

تیم Satori، درمورد اپلیکیشن‌های تبلیغاتی کلاه‌برداری به گوگل و اپل اطلاع داده است و این برنامه‌ها اکنون از فروشگاه‌های رسمی اندروید و iOS حذف شده‌اند. اگر در دستگاه اندروید خود، گزینه‌ی امنیتی Play Protect را فعال کرده باشید، این برنامه‌ها احتمالاً به‌طور خودکار شناسایی شده‌اند.

در iOS نحوه‌ی حذف برنامه‌های تبلیغاتی که از قبل روی دستگاه کاربران نصب شده‌اند دقیقاً مشخص نیست. Human به کاربران توصیه می‌کند برنامه‌های جعلی را هرچه سریع‌تر از روی دستگاه خود حذف کنند. فهرست این برنامه‌ها برای دو سیستم‌عامل اندروید و iOS در ادامه آورده شده است:

فهرست اپلیکشین‌های جعلی تبلیغاتی در iOS:

  • Loot the Castle – com.loot.rcastle.fight.battle (id1602634568)
  • Run Bridge – com.run.bridge.race (id1584737005)
  • Shinning Gun – com.shinning.gun.ios (id1588037078)
  • Racing Legend 3D – com.racing.legend.like (id1589579456)
  • Rope Runner – com.rope.runner.family (id1614987707)
  • Wood Sculptor – com.wood.sculptor.cutter (id1603211466)
  • Fire-Wall – com.fire.wall.poptit (id1540542924)
  • Ninja Critical Hit – wger.ninjacriticalhit.ios (id1514055403)
  • Tony Runs – com.TonyRuns.game

فهرست اپلیکیشن‌های جعلی تبلیغاتی در اندروید که بیش‌از یک میلیون‌بار دانلود شده‌اند:

  • Super Hero-Save the world! – com.asuper.man.playmilk
  • Spot 10 Differences – com.different.ten.spotgames
  • Find 5 Differences – com.find.five.subtle.differences.spot.new
  • Dinosaur Legend – com.huluwagames.dinosaur.legend.play
  • One Line Drawing – com.one.line.drawing.stroke.yuxi
  • Shoot Master – com.shooter.master.bullet.puzzle.huahong
  • Talent Trap – NEW – com.talent.trap.stop.all

فهرست کامل برنامه‌های جعلی تبلیغاتی اندروید و iSO که بخشی از موج کلاه‌برداری Scylla هستند در گزارش HUMAN ارائه شده است.

جزئیات بدافزار

شناسه‌ی بسته‌ی بدافزارهای Scylla معمولاً با نام ناشر آن‌ها مطابقت ندارد تا به تبلیغ‌کنندگان نشان دهد کلیک یا نمایش آگهی‌ها از یک دسته‌ی نرم‌افزاری خاص، سودآورتر است. محققان Human دریافته‌اند که ۲۹ برنامه‌ی از سری Scylla تا ۶۰۰۰ برنامه‌ی مبتنی‌بر CTV را جعل کرده و شناسه‌های تبلیغاتی آن‌ها به‌منظور جلوگیری از شناسایی‌شدن، به‌طور منظم تغییر می‌کند.

شناسه بدافزار تبلیغاتی

(دستورالعمل‌های جعل شناسه‌ی اپلیکیشن)

تبلیغات در اندروید ازطریق پنجره‌های WebView پنهان بارگذاری می‌شوند و بنابراین شخص قربانی هرگز متوجه نکته‌ی مشکوکی نخواهد شد زیرا همه‌ی اتفاق‌ها در پس‌زمینه‌ی دستگاه رخ می‌دهند.

مقاله‌ی مرتبط:

عناصر رابط کاربری بدافزار تبلیغاتی اندروید

(عناصر رابط کاربری بدافزارهای تبلیغاتی که WebView را برای نمایش تبلیغات شناسایی می‌کنند)

علاوه‌براین، ابزار تبلیغاتی مورداشاره از سیستم JobScheduler برای راه‌اندازی رویداد‌های نمایش تبلیغات بهره می‌برد و بنابراین حتی زمانی‌که قربانیان به‌طور فعال از دستگاه‌های خود استفاده نمی‌کنند، مثلاً هنگام خاموش بودن نمایشگر، از آن برای نمایش آگهی‌ها بهره می‌برند.

کد جعل کلیک

(کد جعل کلیک)

نشانه‌های تقلب در فایل‌های گزارش‌ سیستم‌عامل ثبت می‌شوند، اما کاربران عادی، این موارد را بررسی نمی‌کنند.

ترافیک تبلیغات

(ترافیک تبلیغاتی بدافزارهای تبلیغاتی)

برنامه‌های Scylla درمقایسه با Poseidon از لایه‌های دیگری مثل Allatori برای مبهم‌‌تر کردن کد جاوا بهره می‌برند. این فرایند امکان تشخیص و مهندسی معکوس بدافزارهای تبلیغاتی را برای محققان امنیتی دشوارتر می‌کند.

کاربران باید برنامه‌های خود را ازنظر میزان مصرف باتری و همچنین میزان مصرف داده‌های اینترنت مورد بررسی قرار دهند تا بدین‌ترتیب موارد مشکوک را شناسایی کنند. علاوه‌براین، توصیه می‌شود فهرست برنامه‌های نصب‌شده روی گوشی هوشمند خود را مرور و نمونه‌هایی که به‌یاد ندارید آن‌ها را نصب کرده‌ باشید حذف کنید.

پاسخی بنویسید