تیم تحقیقاتی موبایل McAfee اخیراً یک بدافزار اندرویدی جدید به نام Spyloan را در گوگل پلی (Google Play) شناسایی کرده است که در قالب ۱۵ اپلیکیشن مخرب توزیع میشود. این اپلیکیشنهای آلوده بیش از ۸ میلیون مرتبه دانلود شدهاند.
Spyloan عمدتاً کاربران آمریکای جنوبی، آسیای جنوب شرقی و آفریقا را مورد هدف قرار داده و اکنون از فروشگاه برنامه رسمی اندروید حذف شده است.
Spyloan، پیشتر نیز در گوگل پلی حضور یافته بود و آخرین حذف آن از این فروشگاه به دسامبر 2023 باز میگردد، هنگامی که بیش از دهها اپلیکیشن اندرویدی مخرب با 12 میلیون دانلود، از گوگل پلی حذف شدند.
گوگل پلی در اواسط ماه اکتبر نیز هشدار داد که بیش از ۲۰۰ اپلیکیشن اندرویدی آلوده به بدافزار طی یک دوره یک ساله از ژوئن 2023 تا می 2024 در فروشگاه پلی استور توزیع و در مجموع نزدیک به هشت میلیون بار دانلود شدهاند. بدافزارهایی که این اپلیکیشنها را آلوده کردهاند عمدتاً به خانوادههای SpyLoan، SpinOK و SpyNote تعلق داشتند.
هند، ایالات متحده، کانادا، آفریقای جنوبی و هلند کشورهایی بودند که در این بازه زمانی بیشتر مورد هدف بدافزارهای تلفن همراه قرار گرفتهاند.
اپلیکیشنهای Spyloan، برنامههای هستند که به عنوان ابزارهای مالی و تسریع فرآیند پرداخت وام تبلیغ میشوند. هنگامی که قربانیان، این اپلیکیشنها را نصب میکنند، بدافزار یک پیامک تایید توسط رمز عبور یک بار مصرف (OTP) برای آنها ارسال میکند تا اطمینان یابد که اهداف در مناطق جغرافیایی مورد نظر مستقر هستند.
بدافزار Spyloan سپس از تاکتیکهای مهندسی اجتماعی برای فریب کاربران به منظور ارائه اطلاعات حساس و دادههای حساب بانکی و اعطای مجوزهای اضافی به اپلیکیشن از جمله دسترسی به لیست تماسهای کاربر، پیام کوتاه، دوربین، لوکیشن استفاده میکند تا در فرآیند اخاذی از آنها استفاده کند. این دسترسیها در مواردی منجر به اخاذی، آزار و اذیت و ضرر مالی شدهاند.
تاکتیکهای تهاجمی جمع آوری دادههای این اپلیکیشنها منجر به استخراج اطلاعات زیر میشود:
اطلاعات دستگاه و شبکه:
- شناسه مشترک
- اطلاعات DNS
- شناسه دستگاه (IMEI)
- آدرس MAC
- کد کشور
- نام اپراتور شبکه
- زبان
- نوع شبکه (WiFi ، 4G ، 3G و غیره)
- شماره تلفن
- اطلاعات لوکال (کد کشور، زبان)
- منطقه زمانی
- تنظیمات توسعه (فعال یا غیرفعال)
- نوع تلفن (GSM ، CDMA)
- پیکربندی پروکسی
- اطلاعات سیم کارت
- شماره سریال سیم (ICCID)
اطلاعات مکانی:
- مجوز: آن را برای Access_Coarser_Location بررسی میکند
- ارائه دهنده مکان: بررسی میکند که آیا GPS یا لوکیشن شبکه در دسترس است یا خیر
- آخرین لوکیشن شناخته شده: عرض جغرافیایی یا طول جغرافیایی
- اطلاعات GeoCoding (عرض جغرافیایی و طول جغرافیایی را به یک آدرس ساختاری تبدیل میکند):
- نام کشور
- منطقه
- شهر
- خیابان
پیکربندی دستگاه:
- تعداد تصاویر: تعداد تصاویر را در حافظه خارجی محاسبه میکند
- حالت تست (Test Mode): چنانچه دستگاه در حالت تست است گزارش می دهد
- پیکربندی
- زمان فعلی
تنظیمات سیستم عامل:
- جزئیات نسخه اندروید
- اطلاعات سخت افزاری (نام دستگاه ، نام محصول ، مدل دستگاه ، جزئیات سخت افزاری، برند دستگاه، اطلاعات ساخت، شماره سریال دستگاه)
- پیکربندی سیستم (نسخه بوت لودر، اطلاعات CPU)
- شبکه (نسخه رادیویی، نوع سیستم، تگهای ساخت)
اطلاعات ذخیره سازی:
- مسیر ذخیره سازی خارجی ، اندازه ،
- حافظه داخلی: اندازه کل ، اندازه موجود.
- اطلاعات حافظه: رم کل ، رم موجود
- دادههای حسگر
لیست ۸ مورد از ۱۵ اپلیکیشن مخرب Spyloan که تیم تحقیقاتMcAfee شناسایی کرده و بیش از 8 میلیون دانلود از گوگل پلی داشته است به شرح زیر میباشد:
- Préstamo Seguro-Rápido, Seguro – یک میلیون دانلود، در درجه اول مکزیک را مورد هدف قرار داده است.
- Préstamo Rápido-Credit Easy – یک میلیون دانلود، بیشتر کلمبیا را مورد هدف قرار داده است.
- ได้บาทง่ายๆ-สินเชื่อด่วน – یک میلیون دانلود، بیشتر سنگال را مورد هدف قرار داده است.
- RupiahKilat-Dana cair – یک میلیون دانلود، بیشتر سنگال را مورد هدف قرار داده است.
- ยืมอย่างมีความสุข – เงินกู้ – یک میلیون دانلود، بیشتر تایلند را مورد هدف قرار داده است.
- เงินมีความสุข – สินเชื่อด่วน – یک میلیون دانلود، بیشتر تایلند را مورد هدف قرار داده است.
- KreditKu-Uang Online – ۵۰۰ هزار دانلود، در درجه اول اندونزی را مورد هدف قرار داده است.
- Dana Kilat-Pinjaman kecil – ۵۰۰ هزار دانلود، در درجه اول اندونزی را مورد هدف قرار داده است.
علیرغم مکانیزمهای امنیتی موجود در گوگل پلی برای شناسایی و مسدود کردن نرم افزارهایی که شرایط و سیاستهای فروشگاه را نقض میکنند، اما برنامههایی مانند Spyloan همچنان از طریق شکافهای امنیتی راه خود را برای ورود پیدا میکنند.
توصیه میشود به منظور محافظت در برابر چنین تهدیداتی، بخش بررسیها و نظرات کاربران و اعتبار توسعه دهنده را مورد بررسی قرار دهید، مجوزهای اعطا شده به برنامهها را هنگام نصب محدود کنید و مطمئن شوید که Google Play Protect در دستگاه فعال است.