انتشار شده در تاریخ 1403/05/10 - 12:39

مخفی ماندن دو ساله جاسوس افزار پیشرفته در گوگل پلی

ابزار پیچیده‌ای برای جاسوسی سایبری به نام «مندریک» در پنج برنامه موجود در گوگل پلی به مدت تقریباً دو سال پنهان بوده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این ابزار کاربران را در کشورهای کانادا، آلمان، ایتالیا، مکزیک، اسپانیا، پرو و بریتانیا هدف قرار داده است.

بر اساس گزارشی که روز دوشنبه توسط شرکت امنیت سایبری کسپرسکی (Kaspersky) منتشر شد، این برنامه‌ها بیش از 32 هزار بار نصب شده‌اند و توسط هیچ ابزار امنیتی شناسایی نشده بودند.

مندریک پیشتر به عنوان یک بدافزار اندروید فوق‌العاده پیچیده توصیف شده بود.

این بدافزار توسط محققان شرکت امنیت سایبری بیت دیفندر (Bitdefender) مستقر در رومانی در سال 2020 کشف شد، اما حداقل چهار سال پیش از آن در دنیای واقعی فعال بوده است.

در آن زمان، محققان تعداد قربانیان را صدها هزار نفر در طول چهار سال برآورد کردند.

در اوایل ماه آوریل، محققان کسپرسکی مستقر در مسکو یک نمونه مشکوک را کشف کردند که ادعا می‌کنند نسخه جدیدی از مندریک است که از تکنیک‌های پیشرفته‌تری برای مخفی ماندن استفاده می‌کند.

نسخه جدید مندریک در پنج برنامه اندروید مخفی شده بود؛ از جمله یک سرویس برای یادگیری نجوم، یک برنامه تقویت حافظه، یک سرویس اشتراک‌گذاری فایل، یک بازی و یک پلتفرم برای علاقه‌مندان به رمزنگاری.

این برنامه‌ها تا پایان مارس 2024 از فروشگاه گوگل پلی حذف شدند، پس از اینکه تقریباً دو سال در آنجا موجود بودند.

مندریک اطلاعات مربوط به دستگاه را در چندین مرحله جمع‌آوری می‌کند.

ابتدا، داده‌هایی درباره دستگاه مانند لیست برنامه‌های نصب‌شده، اطلاعات شبکه تلفن همراه، آدرس آی پی و شناسه منحصر به فرد دستگاه را جمع‌آوری می‌کند.

بر اساس گزارش کسپرسکی، اگر بر اساس این اطلاعات، مهاجمان قربانی را مورد مناسبی ارزیابی کنند، بخش اصلی بدافزار را اجرا می‌کنند که شامل قابلیت‌های پیشرفته‌ای مانند روشن کردن وای‌فای دستگاه، شروع ضبط صفحه با دسترسی از راه دور و دسترسی به اطلاعات حساب‌های کاربری و اعتبارنامه‌ها در صفحات وب انتخابی است.

عاملان پشت این بدافزار، از انتخاب کشورهایی که دستگاه‌های آلوده در آن‌ها بازدهی مالی ندارند، اجتناب می‌کنند.

طبق گزارش بیت دیفندر، برای مثال، در کمپین‌های قبلی، مندریک از قربانیان در کشورهای کم‌درآمد، کشورهای آفریقایی، کشورهای اتحاد جماهیر شوروی سابق و کشورهای عمدتاً عربی اجتناب کرده است.

مشخص نیست که هکرها چگونه از اطلاعات به دست آمده در طول حملات استفاده می‌کنند یا چه آسیبی از این عملیات‌ها ایجاد شده است.

عامل تهدید پشت مندریک شناسایی نشده است، اما گزارش‌های کسپرسکی و بیت دیفندر این بدافزار را به روسیه مرتبط کرده است.

کسپرسکی اظهار کرد که یافته‌های جدید نشان می‌دهد که مندریک به طور مداوم در حال تکامل است، روش‌های مخفی‌کاری خود را بهبود می‌بخشد و مکانیسم‌های دفاعی جدید را دور می‌زند.

محققان در ادامه تاکید کردند:

این واقعیت که بدافزار به مدت چندین سال در گوگل پلی بدون شناسایی باقی مانده، و همچنین این که افزایش محدودیت‌ها و بررسی‌های برنامه‌ها قبل از انتشار آن‌ها در بازارها منجر به نفوذ تهدیدات پیچیده‌تر به فروشگاه‌های برنامه رسمی شده و شناسایی آن‌ها را دشوارتر می‌کند، نشان‌دهنده تخصص بالای مهاجمان است.

سخنگوی گوگل تصریح کرد که این شرکت از وجود این برنامه‌ها آگاه است و بهبودهایی را برای مقابله با تکنیک‌های ضد فرار ارائه کرده است.

این سخنگو عنوان کرد:

کاربران اندروید به طور خودکار در برابر نسخه‌های شناخته شده این بدافزار توسط گوگل پلی پروتکت که به طور پیش‌فرض بر روی دستگاه‌های اندروید با سرویس‌های گوگل پلی فعال است، محافظت می‌شوند. گوگل پلی پروتکت (Google Play Protect) می‌تواند به کاربران هشدار دهد یا برنامه‌هایی که رفتار مخرب نشان می‌دهند را مسدود کند، حتی اگر آن برنامه‌ها از منابع خارج از پلی باشند.