پژوهشگران امنیتی از شناسایی یک کمپین بدافزاری گسترده خبر دادهاند که در آن تروجان MagicAd از طریق بیش از 50 اپلیکیشن اندرویدی در فروشگاههای رسمی منتشر شده است. تروجان MagicAd با سوءاستفاده از سرویسها و اپلیکیشنهای سیستمی مورد اعتماد اندروید، مکانیزمهای امنیتی این پلتفرم را دور میزند و حتی پس از بسته شدن کامل اپلیکیشنهای آلوده، تبلیغات مزاحم را بهصورت مداوم در پسزمینه نمایش میدهد. بررسیها نشان میدهد این بدافزار با بهرهگیری از تکنیکهای پیشرفته برای دور زدن محدودیتهای سیستم و سوءاستفاده از اپلیکیشنهای سیستمی مورد اعتماد، توانسته فرآیند نمایش تبلیغات را در دستگاههای آلوده تحت کنترل خود درآورد.
بر اساس تحلیل پژوهشگران شرکت امنیتی Doctor Web، این بدافزار با نام فنی Android.MagicAd.1 شناسایی شده است. این نمونه، بخشی از نسل جدید تهدیدات تبلیغاتی محسوب میشود؛ تهدیداتی که دیگر فقط مزاحمت ساده برای کاربران نیستند، بلکه به ابزارهایی پیچیده و مهندسیشده برای سوءاستفاده از قابلیتهای قانونی سیستمعامل و دور زدن کنترلهای امنیتی تبدیل شدهاند.
زنجیره آلودگی در کمپین تروجان MagicAd
بدافزار Android.MagicAd.1 که اولین بار در سال 2025 شناسایی شد، اکنون بنا به گزارش پژوهشگران، از طریق بیش از 50 اپلیکیشن و بازیِ آلوده در حال گسترش است. نکته قابل توجه این است که انتشار این اپلیکیشنهای مخرب تنها به منابع دانلود غیررسمی محدود نبوده و نمونههای آلوده از طریق فروشگاههای رسمی از جمله Samsung Galaxy Store و فروشگاه GetApps شیائومی نیز در دسترس کاربران قرار گرفتهاند.
مهاجمان برای فرار از شناسایی زودهنگام توسط موتورهای اسکن امنیتی، بهصورت مداوم اپلیکیشنهای آلوده را جایگزین میکردند. هر نسخه معمولاً کمتر از یک ماه در فروشگاهها فعال باقی میماند و سپس با نسخه جدیدی جایگزین میشد. با این حال، اگر کاربر در همین بازه زمانی یکی از این اپلیکیشنها را نصب میکرد، تروجان MagicAd حتی پس از حذف نسخه از فروشگاه نیز روی دستگاه او باقی میماند.
فرآیند آلودگی با کامپوننتهای مخفی و رمزنگاریشدهای آغاز میشود که درون کتابخانههای کد بومی (Native Code Libraries) جاسازی شدهاند. زمانی که کاربر یک اپلیکیشن آلوده را اجرا میکند، بدافزار منابع رمزنگاریشده را رمزگشایی کرده و ماژول اصلی خود با نام Android.MagicAd.1.origin را استخراج میکند؛ ماژولی که هسته اصلی فعالیتهای مخرب بدافزار را بر عهده دارد.
این بدافزار اندرویدی پیش از اجرای پیلود نیز مجموعهای از بررسیهای محیطی (Environment Checks) را انجام میدهد. در این مرحله، بدافزار بهدنبال نشانههایی از ماشینهای مجازی (Virtual Machines) یا آدرسهای IP موجود در بلاکلیست میگردد تا اطمینان حاصل کند تحت نظارت پژوهشگران امنیتی یا در محیطهای تحلیل بدافزار قرار ندارد. در صورتی که هیچ نشانهای از تحلیل یا مانیتورینگ امنیتی شناسایی نشود، بدافزار آیکون اپلیکیشن خود را از طریق منوی اصلی مخفی کرده و با ایجاد تسکهای زمانبندیشده در پسزمینه (Background Tasks)، مکانیزم پایداری (Persistence) خود را فعال میکند تا حضور خود را بهصورت دائمی در دستگاه قربانی حفظ کند.
نحوه دور زدن محدودیتهای اندروید توسط تروجان MagicAd
به گفته پژوهشگران سیستمعاملهای مدرن اندروید بهطور سختگیرانهای اجرای خودکار اپلیکیشنهای پسزمینه و نمایش پنجره روی سایر برنامهها را بدون دریافت مجوز صریح ممنوع کردهاند. با این حال، تروجان MagicAd با هدف قرار دادن اپلیکیشنهای سیستمی مورد اعتماد و از پیش نصبشده، قادر است این محدودیتهای امنیتی را دور بزند.
نحوه اجرای این تکنیک بسته به سازنده دستگاه متفاوت است. در دستگاههای شیائومی و برخی محصولات آمازون، بدافزار از مکانیزم اینتنت معلق (Pending Intent) استفاده میکند. در این روش، یک فرمان سیستمی با تأخیر به کامپوننت داخلی بدافزار ارسال میشود و این فرمان از طریق اپلیکیشنهای سیستمی مورد اعتماد مانند Mi Browser، رابط کاربری سیستم MIUI یا رابط صفحه اصلی دستگاه Amazon Fire TV عبور داده میشود تا ماژول داخلی Android.MagicAd.1.origin فعال شده و فرآیند نمایش تبلیغات آغاز شود.
در دستگاههای Vivo، مهاجمان از یک زیرساخت ارتباطی داخلی اندروید به نام Android Binder (بایندر اندروید) سوءاستفاده میکنند و بستههای داده را از طریق ابزارهای سیستمی مانند iManager، Phonebook یا Vivo Browser ارسال کرده تا نمایش تبلیغات پسزمینه را فعال کنند. این تکنیک عملاً امکان اجرای تبلیغات پسزمینه را بدون ایجاد نشانههای قابل مشاهده برای کاربر فراهم کرده و تروجان MagicAd را به یک تهدید پایدار و مداوم در دستگاه آلوده تبدیل میکند.
ترفند جهانی بدافزار برای فعالسازی تبلیغات
در سایر دستگاهها و برندها، تروجان MagicAd از یک روش جایگزین و هوشمندانه استفاده میکند. در این سناریو، بدافزار ابتدا یک فایل صوتی بیصدا ذخیره کرده و سپس مدیاپلیر سیستم را در حالت بیصدا اجرا میکند.
در ادامه، بدافزار با ارسال فرمانهای پسزمینه، سیستمعامل را فریب میدهد تا تعاملهای شبیهسازیشده (مانند فشردن دکمه) را به عنوان ورودی واقعی کاربر پردازش کند. این ترفند باعث میشود سیستمعامل تصور کند یک فعالیت عادی و مجاز در حال انجام است و در نتیجه، بدافزار موفق میشود سطح اولویت اجرایی بالاتری برای نمایش تبلیغات به دست آورد.
جمع بندی
شرکت Doctor Web اعلام کرده است که تمامی اپلیکیشنهای شناساییشده حاوی این بدافزار از فروشگاههای رسمی حذف شدهاند. با این حال، این کمپین نشان میدهد مهاجمان تا چه اندازه میتوانند حتی از نرمافزارهای سیستمی و سازوکارهای امنیتی مورد اعتماد برای پیشبرد حملات خود سوءاستفاده کنند.
به گفته پژوهشگران، تروجان MagicAd نمونهای از نسل جدید بدافزارهای تبلیغاتی است که با بهرهگیری از تکنیکهای پیچیده مهندسی نرمافزار و سوءاستفاده از قابلیتهای قانونی سیستمعامل، مرز میان بدافزارهای ساده تبلیغاتی و تهدیدات پیشرفته موبایلی را کمرنگ کرده است. این روند نشان میدهد که تهدیدات امروزی دیگر صرفاً به نمایش تبلیغات مزاحم محدود نیستند، بلکه به سازوکارهایی پیچیده برای دور زدن کنترلهای امنیتی و سوءاستفاده از زیرساختهای رسمی تبدیل شدهاند.
