گوگل پلی برای مدت طولانی میزبان بدافزارها بوده است

تروجان VajraSpy در 12 برنامه مخرب شناسایی شد که 6 مورد از آنها از 1 آوریل 2021 تا 10 سپتامبر 2023 در Google Play در دسترس بودند.

به گزارش TechNock، برنامه‌های مخربی که اکنون از Google Play حذف شده‌اند، همچنان در فروشگاه‌های برنامه شخص ثالث به‌عنوان برنامه‌های پیام‌رسان یا خبری در دسترس هستند.

افرادی که این برنامه ها را نصب کرده اند به VajraSpy آلوده شده اند که به بدافزار اجازه می دهد تا اطلاعات شخصی از جمله مخاطبین و پیام ها را بدزدد و حتی تماس های تلفنی را بسته به مجوزهای اعطا شده ضبط کند.

بلیپ کامپیوتر محققان ESET که هک را کشف کردند، گزارش دادند که اپراتورها گروه Patchwork APT هستند که حداقل از اواخر سال 2015 فعال بوده و عمدتاً کاربران پاکستانی را هدف قرار می دهد.

در سال 2022، این عوامل تهدید به طور تصادفی جزئیات حمله خود را فاش کردند. این زمانی بود که آنها به طور ناخواسته زیرساخت خود را با یک RAT به نام Ragnatela آلوده کردند. این باگ به Malwarebytes امکان دسترسی به فعالیت‌های Patchwork را داد.

پیوند بین VajraSpy و یک خوشه فعالیت که ESET آن را به عنوان Patchwork شناسایی می کند، ابتدا در سال 2022 توسط QiAnXin (منسوب به APT-Q-43) و سپس توسط Meta در مارس 2023 و Qihoo 360 در نوامبر 2023 (منسوب به APT -C-52) ایجاد شد. منتسب) تایید شد.

جاسوس اندروید

یک محقق ESET به نام لوکاس استفانکو 12 بدافزار اندرویدی حاوی همان کد VajraSpy RAT را کشف کرد. از این تعداد، 6 اپلیکیشن در گوگل پلی آپلود و تقریبا 1400 بار دانلود شده است. برنامه هایی که در گوگل پلی موجود بودند عبارتند از:

• رفاقت (اخبار)
• گفتگوی خصوصی (مسنجر)
• MeetMe (پیام رسان)
• بیا حرف بزنیم
• چت سریع
• چیت چت

برنامه‌های VajraSpy موجود خارج از Google Play همگی برنامه‌های پیام‌رسان جعلی هستند. شامل:

• سلام چت
• YohooTalk
• TikTalk
• لانه
• GlowChat
• چت موجی

فروشگاه‌های برنامه شخص ثالث تعداد دانلودهای برنامه را گزارش نمی‌کنند. بنابراین تعداد کاربرانی که آنها را از طریق این پلتفرم ها نصب کرده اند مشخص نیست. تجزیه و تحلیل تله متری ESET نشان می دهد که بیشتر قربانیان در پاکستان و هند واقع شده اند و ممکن است با استفاده از کلاهبرداری های عاشقانه، برنامه های پیام رسان جعلی را نصب کنند.

VajraSpy یک نرم افزار جاسوسی و RAT است که از قابلیت های جاسوسی مختلف پشتیبانی می کند. ویژگی هایی که اغلب حول محور سرقت اطلاعات می چرخند. قابلیت های تروجان مذکور به شرح زیر است:

• جمع آوری و انتقال داده های شخصی از دستگاه آلوده، از جمله مخاطبین و گزارش تماس ها و پیام های SMS
• پیام ها را از برنامه های ارتباطی رمزگذاری شده محبوب مانند WhatsApp و Signal رهگیری و استخراج کنید
• ضبط تماس های تلفنی برای پیگیری مکالمات خصوصی
• فعال کردن دوربین دستگاه برای گرفتن عکس و تبدیل آن به یک ابزار نظارتی
• ارسال همزمان اعلان ها از برنامه های مختلف
• اسناد، تصاویر، فایل های صوتی و انواع دیگر فایل ها را جستجو و استخراج کنید

قدرت VajraSpy در ماهیت مدولار و تطبیق پذیری آن نهفته است. در حالی که میزان توانایی های جاسوسی آن با سطح مجوزهایی که در دستگاه آلوده به آن داده می شود تعیین می شود. ESET توصیه می کند که کاربران از دانلود برنامه های چت ناشناخته ای که توسط افراد ناشناس معرفی می شوند خودداری کنند. زیرا این یک تاکتیک رایج و ثابت است که توسط مجرمان سایبری برای نفوذ به دستگاه ها استفاده می شود.

اگرچه Google Play سیاست‌های جدیدی را معرفی کرده است که مخفی کردن بدافزار را سخت‌تر می‌کند، بازیگران تهدید همچنان بدافزار خود را به صورت مخفیانه وارد پلتفرم می‌کنند. نرم افزار جاسوسی SpyLoan که اطلاعات را به سرقت می برد اخیراً کشف شد که در سال 2023 بیش از 12 میلیون بار از Google Play دانلود شده است. یکی از نمایندگان گوگل در مورد این موضوع گفت:

ما ادعاها و شکایات مربوط به امنیت و حریم خصوصی برنامه را جدی می‌گیریم و اگر متوجه شویم برنامه‌ای خط‌مشی‌های ما را نقض می‌کند، اقدامات لازم را انجام می‌دهیم.

کاربران توسط Google Play Protect محافظت می‌شوند، که می‌تواند به کاربران برنامه‌هایی که این رفتار مخرب را در دستگاه‌های Android با خدمات Google Play نشان می‌دهند، اطلاع دهد. حتی زمانی که این برنامه ها از منابع خارج از Google Play دانلود می شوند.

پست گوگل پلی مدت هاست میزبان بدافزارها بوده است اولین بار در Oneknock – اخبار دنیای فناوری ظاهر شد. ظاهر شد.