بدافزار اندرویدی با 60 برنامه آلوده و 100 میلیون نصب

زمان مطالعه: 5 دقیقه

محققای Mcafee یه گزارشی منتشر کردن در خصوص یه بدافزار موبایلی بنام Goldoson که تونسته 60 برنامه اندرویدی رو آلوده کنه و در گوگل پلی بیش از 100 میلیون بار نصب داشته باشه.

بدافزار Goldoson در حقیقت یه کتابخونه هستش که امکان جمع آوری لیست برنامه های نصب شده، اطلاعات دستگاههای وصل شده به Wifi و بلوتوث و مکانهای GPS کاربر رو جمع آوری کنه. این داده ها میتونن با هم ترکیب بشن و هویت شخص قابل شناسایی باشه که منجر به نقض حریم خصوصی هم میشه. همچنین میتونه در پس زمینه بدون اینکه کاربر بدونه ، روی تبلیغات کلیک کنه و در کل کلاهبرداری تبلیغاتی بکنه. این کتابخونه مخرب در 60 برنامه مورد استفاده قرار گرفتن و بیش از 100 میلیون بار دانلود از طریق گوگل پلی و 8 میلیون بار از طریق ONE store در کره جنوبی داشته.

نکته ای که هست اینه که این کتابخونه توسط یکی دیگه توسعه داده شده و توسعه دهنگان برنامه بدون آگاهی از مخرب بودنش، در برنامه هاشون استفاده کردن.

 

 

Mcafee لیست این برنامه های مخرب به گوگل داده و گوگل به توسعه دهندگانشون اطلاع داده که برنامه اشون سیاست های گوگل پلی رو رعایت نمیکنه و در نتیجه برخی از اونها حذف شدن و برخی توسط توسعه دهندگان بروزرسانی شدن تا شامل این کتابخونه مخرب نباشه.

شکل زیر 9 برنامه که بیشترین نصب رو داشتن رو نشون میده :

 

وقتی یه کاربری یه برنامه آلوده به این کتابخونه رو اجرا میکنه، کتابخونه دستگاه رو رجیستر کرده و پیکربندی رو از سرور C2 دریافت میکنه. نام کتابخونه و دامنه سرور برای هر برنامه ای متفاوت و مبهم شده هستش. اسم Goldoson هم از روی اولین دامنه ای که پیدا کردن گرفتن.

 

 

پیکربندی دریافتی شامل پارامترهایی از عملکردهای برنامه هستش و اینکه هر چند وقت اونارو اجرا کنه. براساس این پارامترها ، کتابخونه به صورت دوره ای دستگاه بررسی میکنه، اطلاعاتش استخراج میکنه و اونارو به سرور C2 ارسال میکنه. تگهایی مثله ads_enable یا collect_enable نشون دهنده فعال بودن عملکردها هستش و سایر پارامترها شرایط و دسترسی اون عملکردها مشخص میکنن ، مثلا اینکه چقدر تاخیر بین عملکرد باشه.

 

 

داده های جمع آوری شده هر دو روز یکبار ارسال میشه، اما دوره ارسال میتونه توسط فایل پیکربندی دریافتی تغییر کنه. شکل زیر نمونه ای از داده های جمع آوری شده روی دستگاه تست محققین رو نشون میده:

 

 

گوگل پلی جمع آوری لیست برنامه ها رو بعنوان داده های حساس و شخصی کاربر در نظر میگیره و بنابراین برای دسترسی نیاز به تعریف پرمیشن خاصی هستش. اندروید 11 و نسخه های بالاتر در برابر جمع آوری داده ها عملکرد بهتری رو دارن. با این حال محققین McAfee متوجه شدن که حتی در نسخه های اخیر اندروید، 10 درصد از برنامه هایی که دارای این کتابخونه مخرب هستن ، مجوز QUERY_ALL_PACKAGES رو دارن و امکان دسترسی به اطلاعات برنامه ها رو میدن.

همچنین در اندروید 6 و بالاتر ، ممکنه در زمان اجرا از کاربر مجوزهایی مانند مکان ، فضای ذخیره سازی ، دوربین و … خواسته بشه. اگه کاربر پرمیشن مکان رو بده، برنامه نه تنها به داده های GPS دسترسی داره بلکه به اطلاعات دستگاههای WIFI و بلوتوث اطراف دستگاه هم دسترسی داره. براساس BSSID (Basic Service Set Identifier) و RSSI (Received Signal Strength Indicator) برنامه میتونه مکان دستگاه رو دقیقتر از GPS بخصوص در یه مکان بسته شناسایی کنه.

همونطور که بالا گفته شد، یه بخشی از عملکرد این بدافزار، کلاهبرداری تبلیغاتی هستش. برای اینکار بدافزار یسری کد HTML رو لوود میکنه و به یه WebView مخفی و سفارشی تزریق میکنه و با بازدید از URLها ترافیک جعلی و مخفی ایجاد میکنه.

 

 

 

نتیجه گیری :

با توجه به اینکه برنامه های موبایلی هر روز داره رشد میکنه ، استفاده از کتابخونه های شخص ثالث در اونا اجتناب ناپذیره. اما نیاز هستش که توسعه دهندگان از امن بودن این کتابخونه مطمئن بشن و اقدامات احتیاطی در این خصوص رو برای محافظت از کاربراشون انجام بدن.

کاربران برنامه ها رو از منابع رسمی دانلود کنن و نسبت به پرمیشن هایی که به اون برنامه میدن هوشیار باشن. همچنین از برنامه های امنیتی استفاده کنن.

 

IoCهای گزارش :

دامنه های مخرب :

• bhuroid.com
• enestcon.com
• htyyed.com
• discess.net
• gadlito.com
• gerfane.com
• visceun.com
• onanico.net
• methinno.net
• goldoson.net
• dalefs.com
• openwor.com
• thervide.net
• soildonutkiel.com
• treffaas.com
• sorrowdeepkold.com
• hjorsjopa.com
• dggerys.com
• ridinra.com
• necktro.com
• fuerob.com
• phyerh.net
• ojiskorp.net
• rouperdo.net
• tiffyre.net
• superdonaldkood.com
• soridok2kpop.com

برنامه های آلوده :

در ادامه لیست 60 برنامه آلوده رو هم قرار دادیم ، اگه از این برنامه ها استفاده می کنید ، اونا رو بروزرسانی کنید تا نسخه آلوده رو حذف کنید (اوناییکه جلوشون update زده شده) و اگه نسخه بروزرسان نبود اونارو حذف کنید. (اونایی که جلوشون Removed زده)

Package Name	Application Name	GooglePlay Downloads	GP Status
com.lottemembers.android	L.POINT with L.PAY	10M+	Updated
com.Monthly23.SwipeBrickBreaker	Swipe Brick Breaker	10M+	Removed
com.realbyteapps.moneymanagerfree	Money Manager Expense & Budget	10M+	Updated
com.skt.tmap.ku	TMAP – 대리,주차,전기차 충전,킥보 …	10M+	Updated
kr.co.lottecinema.lcm	롯데시네마	10M+	Updated
com.ktmusic.geniemusic	지니뮤직 – genie	10M+	Updated
com.cultureland.ver2	컬쳐랜드[컬쳐캐쉬]	5M+	Updated
com.gretech.gomplayerko	GOM Player	5M+	Updated
com.megabox.mop	메가박스(Megabox)	5M+	Removed
kr.co.psynet	LIVE Score, Real-Time Score	5M+	Updated
sixclk.newpiki	Pikicast	5M+	Removed
com.appsnine.compass	Compass 9: Smart Compass	1M+	Removed
com.gomtv.gomaudio	GOM Audio – Music, Sync lyrics	1M+	Updated
com.gretech.gomtv	곰TV – All About Video	1M+	Updated
com.guninnuri.guninday	전역일 계산기 디데이 곰신톡–군인 …	1M+	Updated
com.itemmania.imiapp	아이템매니아 – 게임 아이템 거래 …	1M+	Removed
com.lotteworld.android.lottemagicpass	LOTTE WORLD Magicpass	1M+	Updated
com.Monthly23.BounceBrickBreaker	Bounce Brick Breaker	1M+	Removed
com.Monthly23.InfiniteSlice	Infinite Slice	1M+	Removed
com.pump.noraebang	나홀로 노래방–쉽게 찾아 이용하는 …	1M+	Updated
com.somcloud.somnote	SomNote – Beautiful note app	1M+	Removed
com.whitecrow.metroid	Korea Subway Info : Metroid	1M+	Updated
kr.co.GoodTVBible	GOODTV다번역성경찬송	1M+	Removed
kr.co.happymobile.happyscreen	해피스크린 – 해피포인트를 모으 …	1M+	Updated
kr.co.rinasoft.howuse	UBhind: Mobile Tracker Manager	1M+	Removed
mafu.driving.free	스피드 운전면허 필기시험 …	1M+	Removed
com.wtwoo.girlsinger.worldcup	이상형 월드컵	500K+	Updated
kr.ac.fspmobile.cu	CU편의점택배	500K+	Removed
com.appsnine.audiorecorder	스마트 녹음기 : 음성 녹음기	100K+	Removed
com.camera.catmera	캣메라 [순정 무음카메라]	100K+	Removed
com.cultureland.plus	컬쳐플러스:컬쳐랜드 혜택 더하기 …	100K+	Updated
com.dkworks.simple_air	창문닫아요(미세/초미세먼지/WHO …	100K+	Removed
com.lotteworld.ticket.seoulsky	롯데월드타워 서울스카이	100K+	Updated
com.Monthly23.LevelUpSnakeBall	Snake Ball Lover	100K+	Removed
com.nmp.playgeto	게토(geto) – PC방 게이머 필수 앱	100K+	Removed
com.note.app.memorymemo	기억메모 – 심플해서 더 좋은 메모장	100K+	Removed
com.player.pb.stream	풀빵 : 광고 없는 유튜브 영상 …	100K+	Removed
com.realbyteapps.moneya	Money Manager (Remove Ads)	100K+	Updated
com.wishpoke.fanciticon	Inssaticon – Cute Emoticons, K	100K+	Removed
marifish.elder815.ecloud	클라우드런처	100K+	Updated
com.dtryx.scinema	작은영화관	50K+	Updated
com.kcld.ticketoffice	매표소–뮤지컬문화공연 예매& …	50K+	Updated
com.lotteworld.ticket.aquarium	롯데월드 아쿠아리움	50K+	Updated
com.lotteworld.ticket.waterpark	롯데 워터파크	50K+	Updated
com.skt.skaf.l001mtm091	T map for KT, LGU+	50K+	Removed
org.howcompany.randomnumber	숫자 뽑기	50K+	Updated
com.aog.loader	로더(Loader) – 효과음 다운로드 앱	10K+	Removed
com.gomtv.gomaudio.pro	GOM Audio Plus – Music, Sync l	10K+	Updated
com.NineGames.SwipeBrickBreaker2	Swipe Brick Breaker 2	10K+	Removed
com.notice.safehome	안심해 – 안심귀가 프로젝트	10K+	Removed
kr.thepay.chuncheon	불러봄내 – 춘천시민을 위한 공공  …	10K+	Removed
com.curation.fantaholic	판타홀릭 – 아이돌 SNS 앱	5K+	Removed
com.dtryx.cinecube	씨네큐브	5K+	Updated
com.p2e.tia.tnt	TNT	5K+	Removed
com.health.bestcare	베스트케어–위험한 전자기장, …	1K+	Removed
com.ninegames.solitaire	InfinitySolitaire	1K+	Removed
com.notice.newsafe	안심해 : 안심지도	1K+	Removed
com.notii.cashnote	노티아이 for 소상공인	1K+	Removed
com.tdi.dataone	TDI News – 최초 데이터 뉴스 앱 …	1K+	Removed
com.ting.eyesting	눈팅 – 여자들의 커뮤니티	500+	Removed
com.ting.tingsearch	팅서치 TingSearch	50+	Removed
com.celeb.tube.krieshachu	츄스틱 : 크리샤츄 Fantastic	50+	Removed
com.player.yeonhagoogokka	연하구곡	10+	Removed

منبع