کلاهبرداری یک کمپین تبلیغاتی به واسطه نصب برنامه در گوگل‌پلی و اپ‌استور

کلاهبرداری یک کمپین تبلیغاتی به واسطه نصب برنامه در گوگل‌پلی و اپ‌استور
تاریخ انتشار : ۰۹ مهر ۱۴۰۱

محققان امنیتی، ۷۵ اپلیکیشن را در فروشگاه گوگل‌پلی و ۱۰ اپلیکیشن دیگر در اپ‌استور اپل شناسایی کرده‌اند که همه‌ی آن‌ها ازجمله بدافزار‌های تبلیغاتی محسوب می‌شوند. این برنامه‌ها درمجموع ۱۳ میلیون‌بار روی گوشی‌های کاربران نصب شده‌اند.

به گزارش گرداب، علاوه‌بر سیل تبلیغات فراوانی که هر روز به کاربران گوشی‌های هوشمند نمایش داده می‌شوند، برنامه‌های تقلبی نیز با جعل‌هویت اپلیکیشن‌های محبوب سعی دارند با نمایش تبلیغات آشکار و پنهان، کسب درآمد کنند. اگرچه این‌نوع برنامه‌ها به‌عنوان تهدید جدی درنظر گرفته نمی‌شوند، اما سازندگان می‌توانند برای فعالیت‌های خطرناک از آن‌ها بهره ببرند.

تیم امنیتی Satori Threat Intelligence HUMAN مجموعه‌ای از برنامه‌های گوشی‌های هوشمند را شناسایی کرده است که درواقع بخشی از یک کمپین جدید کلاه‌برداری تبلیغاتی موسوم به Scylla هستند.

به‌نوشته‌ی BleepingComputer، تحلیل‌گران باور دارند که Scylla درواقع موج سوم عملیاتی است که اولین‌بار با نام Poseidon در آگوست ۲۰۱۹ شناسایی شد. موج دوم این کمپین Charybdis نام داشت که اواخر سال ۲۰۲۰ به‌اوج فعالیت خود رسید.

برنامه‌های کلاه‌برداری تبلیغاتی

تیم Satori، درمورد اپلیکیشن‌های تبلیغاتی کلاه‌برداری به گوگل و اپل اطلاع داده است و این برنامه‌ها اکنون از فروشگاه‌های رسمی اندروید و iOS حذف شده‌اند. اگر در دستگاه اندروید خود، گزینه‌ی امنیتی Play Protect را فعال کرده باشید، این برنامه‌ها احتمالاً به‌طور خودکار شناسایی شده‌اند.

در iOS نحوه‌ی حذف برنامه‌های تبلیغاتی که از قبل روی دستگاه کاربران نصب شده‌اند دقیقاً مشخص نیست. Human به کاربران توصیه می‌کند برنامه‌های جعلی را هرچه سریع‌تر از روی دستگاه خود حذف کنند. فهرست این برنامه‌ها برای دو سیستم‌عامل اندروید و iOS در ادامه آورده شده است:

فهرست اپلیکشین‌های جعلی تبلیغاتی در iOS:

Loot the Castle – com.loot.rcastle.fight.battle (id۱۶۰۲۶۳۴۵۶۸)
Run Bridge – com.run.bridge.race (id۱۵۸۴۷۳۷۰۰۵)
Shinning Gun – com.shinning.gun.ios (id۱۵۸۸۰۳۷۰۷۸)
Racing Legend ۳D – com.racing.legend.like (id۱۵۸۹۵۷۹۴۵۶)
Rope Runner – com.rope.runner.family (id۱۶۱۴۹۸۷۷۰۷)
Wood Sculptor – com.wood.sculptor.cutter (id۱۶۰۳۲۱۱۴۶۶)
Fire-Wall – com.fire.wall.poptit (id۱۵۴۰۵۴۲۹۲۴)
Ninja Critical Hit – wger.ninjacriticalhit.ios (id۱۵۱۴۰۵۵۴۰۳)
Tony Runs – com.TonyRuns.game

فهرست اپلیکیشن‌های جعلی تبلیغاتی در اندروید که بیش‌از یک میلیون‌بار دانلود شده‌اند:

Super Hero-Save the world! - com.asuper.man.playmilk
Spot ۱۰ Differences – com.different.ten.spotgames
Find ۵ Differences – com.find.five.subtle.differences.spot.new
Dinosaur Legend – com.huluwagames.dinosaur.legend.play
One Line Drawing – com.one.line.drawing.stroke.yuxi
Shoot Master – com.shooter.master.bullet.puzzle.huahong
Talent Trap – NEW – com.talent.trap.stop.all
فهرست کامل برنامه‌های جعلی تبلیغاتی اندروید و iSO که بخشی از موج کلاه‌برداری Scylla هستند در گزارش HUMAN ارائه شده است.

جزئیات بدافزار

شناسه‌ی بسته‌ی بدافزار‌های Scylla معمولاً با نام ناشر آن‌ها مطابقت ندارد تا به تبلیغ‌کنندگان نشان دهد کلیک یا نمایش آگهی‌ها از یک دسته‌ی نرم‌افزاری خاص، سودآورتر است. محققان Human دریافته‌اند که ۲۹ برنامه‌ی از سری Scylla تا ۶۰۰۰ برنامه‌ی مبتنی‌بر CTV را جعل کرده و شناسه‌های تبلیغاتی آن‌ها به‌منظور جلوگیری از شناسایی‌شدن، به‌طور منظم تغییر می‌کند.

بدافزار‌های یک کمپین تبلیغاتی کلاه‌برداری بیش‌از ۱۳ میلیون‌بار ازطریق گوگل‌پلی و اپ‌استور نصب شده‌اند

(دستورالعمل‌های جعل شناسه‌ی اپلیکیشن)

تبلیغات در اندروید ازطریق پنجره‌های WebView پنهان بارگذاری می‌شوند و بنابراین شخص قربانی هرگز متوجه نکته‌ی مشکوکی نخواهد شد، زیرا همه‌ی اتفاق‌ها در پس‌زمینه‌ی دستگاه رخ می‌دهند.

 

بدافزار‌های یک کمپین تبلیغاتی کلاه‌برداری بیش‌از ۱۳ میلیون‌بار ازطریق گوگل‌پلی و اپ‌استور نصب شده‌اند
(عناصر رابط کاربری بدافزار‌های تبلیغاتی که WebView را برای نمایش تبلیغات شناسایی می‌کنند)

علاوه‌براین، ابزار تبلیغاتی مورداشاره از سیستم JobScheduler برای راه‌اندازی رویداد‌های نمایش تبلیغات بهره می‌برد و بنابراین حتی زمانی‌که قربانیان به‌طور فعال از دستگاه‌های خود استفاده نمی‌کنند، مثلاً هنگام خاموش بودن نمایشگر، از آن برای نمایش آگهی‌ها بهره می‌برند.



بدافزار‌های یک کمپین تبلیغاتی کلاه‌برداری بیش‌از ۱۳ میلیون‌بار ازطریق گوگل‌پلی و اپ‌استور نصب شده‌اند

(کد جعل کلیک)

نشانه‌های تقلب در فایل‌های گزارش سیستم‌عامل ثبت می‌شوند، اما کاربران عادی، این موارد را بررسی نمی‌کنند.

 

بدافزار‌های یک کمپین تبلیغاتی کلاه‌برداری بیش‌از ۱۳ میلیون‌بار ازطریق گوگل‌پلی و اپ‌استور نصب شده‌اند
(ترافیک تبلیغاتی بدافزار‌های تبلیغاتی)

برنامه‌های Scylla درمقایسه با Poseidon از لایه‌های دیگری مثل Allatori برای مبهم‌تر کردن کد جاوا بهره می‌برند. این فرایند امکان تشخیص و مهندسی معکوس بدافزار‌های تبلیغاتی را برای محققان امنیتی دشوارتر می‌کند.

کاربران باید برنامه‌های خود را ازنظر میزان مصرف باتری و همچنین میزان مصرف داده‌های اینترنت مورد بررسی قرار دهند تا بدین‌ترتیب موارد مشکوک را شناسایی کنند. علاوه‌براین، توصیه می‌شود فهرست برنامه‌های نصب‌شده روی گوشی هوشمند خود را مرور و نمونه‌هایی که به‌یاد ندارید آن‌ها را نصب کرده باشید حذف کنید.