از دادن مجوزهای نامربوط خودداری کنید؛

فروش ابزارهای مخرب گوگل پلی در دارک وب

فروش ابزارهای مخرب گوگل پلی در دارک وب
تاریخ انتشار : ۳۰ ارديبهشت ۱۴۰۲

طبق بررسی‌های کسپرسکی بسیاری از برنامه‌های موجود در فروشگاه‌های معتبر هم حاوی بدافزار هستند و کاربران باید دقت کنند که برنامه چه مجوز‌هایی می‌خواهد و از دادن مجوز‌های نامربوط خودداری کنند.

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

به گزارش گرداب، در سال ۲۰۲۲، شرکت امنیتی کسپرسکی ۱۶۶۱۷۴۳ بدافزار یا نصب‌کننده ناخواسته و خودکار نرم‌افزار برای تلفن‌های همراه شناسایی کرد. اگرچه رایج‌ترین روش توزیع چنین نصب‌کننده‌هایی از طریق وبسایت‌های شخص ثالث و فروشگاه‌های برنامه مشکوک است، طراحان آن‌ها هر از چند گاهی موفق می‌شوند آن‌ها را در فروشگاه‌های رسمی مانند گوگل پلی آپلود کنند. نظارت در پلتفرم‌هایی مانند گوگل پلی شدید است و اپلیکیشن‌ها قبل از منتشر شدن به دقت بررسی می‌شوند. با این حال، سازندگان نرم‌افزار‌های مخرب و ناخواسته از انواع ترفند‌ها برای دور زدن عوامل نظارتی و امنیتی پلتفرم استفاده می‌کنند.

برای مثال، آن‌ها شاید یک اپلیکیشن کاربردی و مفید را آپلود کنند و بعداً با کد‌های مخرب یا مشکوک به‌روز‌رسانی انجام دهند تا هم بر کاربران جدید و هم کاربرانی که قبلاً اپلیکیشن را نصب کرده‌اند تأثیر بگذارد. اپلیکیشن‌های مخرب به محض شناسایی شدن در گوگل پلی حذف می‌شوند، اما گاهی اوقات این عمل بعد از چندین بار دانلود شدن انجام می‌شود.

بعد از شکایت کاربران و شناسایی شدن اپلیکیشن‌های مخرب و ناخواسته متعدد در گوگل پلی، ما تصمیم گرفتیم تا نگاهی به میزان عرضه و تقاضای چنین بدافزار‌هایی در دارک وب بیندازیم. تجزیه و تحلیل منبع تهدیدات بسیار مهم است، چون مجرمان سایبری اکثراً به صورت گروهی کار خرید و فروش حساب‌های گوگل پلی، بدافزار، سرویس‌های تبلیغاتی و فعالیت‌های این چنینی را انجام می‌دهند. آن‌ها یک دنیای زیرزمینی با قوانین، قیمت‌ها و مؤسسات معتبر کاملاً متفاوت و مخصوص برای خود تشکیل داده‌اند که در این مقاله به آن اشاره می‌کنیم.

متودولوژی

هوش تشخیص ردپای دیجیتال کسپرسکی امکان نظارت محتاطانه بر سایت‌های پیست بین و انجمن‌های آنلاین زیر زمینی را جهت شناسایی حساب‌های در معرض خطر و افشای اطلاعات فراهم می‌سازد. ما به این وسیله توانستیم نمونه‌هایی از پیشنهادات فروش ابزار‌های تهدید گوگل پلی را به دست‌آوریم. پیشنهادات ارائه شده در این مقاله مربوط به سال‌های ۲۰۱۹ تا ۲۰۲۳ می‌شوند و متعلق به ۹ انجمن محبوب در زمینه خرید و فروش کالا‌ها و خدمات مرتبط با بدافزار‌ها و نرم‌افزار‌های ناخواسته هستند.

مهم‌ترین یافته‌ها

• هزینه لودری (loader) که بتواند یک اپلیکیشن مخرب یا ناخواسته را به گوگل پلی تحویل دهد بین دو هزار تا بیست هزار دلار است.

• درصد زیادی از مجرمان سایبری برای مخفی ماندن هویت و ماهیت فعالیت‌هایشان، معاملات خود را از طریق پیام‌های شخصی در انجمن‌ها یا پیام‌رسان‌هایی مانند تلگرام انجام می‌دهند.

• اسکنر‌های کد QR، اپلیکیشن‌های بانکی، اپلیکیشن‌های دوستیابی و ترکر (tracker) رمزارز، بهترین برنامه‌ها برای پنهان کردن بدافزار و نرم‌افزار‌های ناخواسته هستند.

• مجرمان سایبری سه نوع پرداخت اصلی را می‌پذیرند: پرداخت یک‌جا، درصدی از سود نهایی، خرید اشتراک یا اجاره.

• مجرمان سایبری پیشنهاد منتشر کردن تبلیغات گوگل برای جذب افراد بیشتر جهت دانلود اپلیکیشن‌های مخرب و ناخواسته را می‌دهند. هزینه تبلیغات بستگی به کشور مورد نظر دارد. مثلاً هزینه تبلیغات برای کاربران آمریکایی و استرالیایی گران‌ترین است و تا حدود یک دلار آمریکا خرج بر می‌دارد.

انواع سرویس‌های مخربی که در دارک وب ارائه می‌شوند

همانند بازار‌های آنلاین قانونی، خدمات متنوعی در دارک وب بر اساس انواع نیاز‌ها و بودجه‌های مشتریان ارائه می‌شوند. در تصویر زیر فهرست خدمات و پیشنهادات را مشاهده می‌کنید که شامل انواع ابزار‌ها و خدمات برای هدف قرار دادن کاربران گوگل پلی هستند.
شخصی که این فهرست را تهیه کرده است، قیمت‌های بالایی تعیین می‌کند، اما این سطح قیمت در دارک وب به نظر عادی و معمول می‌آید. یکی از اصلی‌ترین ابزاری که از این بازار‌ها خریداری می‌شود، حساب‌های گوگل پلی توسعه‌دهندگان است.

این حساب‌ها یا هک شده‌اند یا مجرمان سایبری با ثبت اطلاعات هویتی دزدیده شده به آن وارد می‌شوند. ابزار پرطرفدار دیگر، کد منبع انواع محصولات است که به خریدار کمک می‌کنند تا برنامه‌های مورد نظر خود را گوگل پلی آپلود کنند. علاوه بر این‌ها، خدماتی مانند تزریق‌های مبتنی بر وب و VPS (سرور مجازی خصوصی) به قیمت ۳۰۰ دلار ارائه می‌شوند که به مجرمان امکان کنترل تلفن‌های آلوده و هدایت ترافیک کاربران را می‌دهند.

در حمله تزریق وب، فعالیت قربانی تحت نظر قرار می‌گیرد و اگر او صفحه وبی را که مورد علاقه مجرمان سایبری است باز کند، آن صفحه با یک صفحه مخرب جایگزین می‌شود. هزینه این خدمات بین ۲۵ تا ۸۰ دلار برای هر بار استفاده است.


فروش ابزارهای مخرب گوگل پلی در دارک وب

ارائه دهنده این خدمات در دارک وب، مبالغ بالایی تعیین می‌کند و ادعا دارد که نسبت به دیگران خدمات ارزان‌تری ارائه می‌دهد. حال بیایید نگاهی به برخی از برنامه‌ها و خدمات خاصی بیندازیم که مجرمان سایبری جهت فروش ارائه می‌دهند.

لودر‌های گوگل پلی

اکثر پیشنهاداتی که ما بررسی کردیم در رابطه با لودر‌های گوگل پلی بود. کاری که لودر‌ها انجام می‌دهند، تزریق کد مخرب یا ناخواسته به اپلیکیشن‌های گوگل پلی است. این اپلیکیشن بعداً در گوگل پلی به‌روز‌رسانی می‌شود و قربانی به‌روز‌رسانی مخرب را دانلود می‌کند. بسته به این که دقیقاً چه چیزی به برنامه تزریق شده است، کاربر ممکن است برنامه را همراه با به‌روز‌رسانی دریافت کند یا اعلانی نمایش داده شود که از او می‌خواهد امکان نصب برنامه‌های ناشناخته را فعال کرده و آن را از یک منبع خارجی نصب کند. در حالت دوم، تا زمانی که کاربر با نصب برنامه اضافی موافقت نکند، اعلان پاک نمی‌شود.

بعد از نصب اپلیکیشن، از کاربر جهت دسترسی به داده‌های مهم تلفن مانند سرویس‌های دسترسی، دوربین، میکروفون و موارد مشابه درخواست می‌شود. کاربر شاید تا زمانی که با درخواست‌های لازم برای انجام فعالیت‌های مخرب موافقت نکند نتواند از اپلیکیشن اصلی استفاده نماید. در صورت اعطای مجوز‌های درخواستی، کاربر می‌تواند از اپلیکیشن استفاده کند، اما در عین حال دستگاه او آلوده شده است.
برای متقاعد کردن خریدار، گاهی مجرمان سایبری یک ویدیو از نحوه عمل محصولات خود را می‌فرستند و نسخه آزمایشی ارسال می‌کنند. ویژگی‌هایی که لودر‌ها دارند می‌تواند شامل طراحی رابط کاربر پسند، پنل مدیریتی آسان، فیلتر مکانی قربانیان، پشتیبانی از آخرین نسخه‌های اندروید و بسیاری قابلیت‌های دیگر باشد.

فروشندگان ممکن است به ابزار‌های خود قابلیت شناسایی دیباگر و سندباکس را اضافه کرده باشند. در این صورت با شناسایی یک محیط مشکوک، لودر ممکن است عملیات خود را متوقف کند یا به مجرم سایبری اطلاع دهد که احتمالاً لو رفته است.


فروش ابزارهای مخرب گوگل پلی در دارک وب

لودر‌های گوگل پلی، محبوبترین محصولات در دارک وب هستند

اغلب طراحان، برنامه‌هایی را که لودرشان با آن کار می‌کند مشخص می‌کنند. بدافزار و نرم‌افزار ناخواسته اغلب به ترکر رمزارز، اپلیکیشن‌های بانکی، اسکنر‌های کد QR و اپلیکیشن‌های دوستیابی تزریق می‌شوند. آن‌ها همچنین تعداد دانلود‌ها در نسخه اصلی و قانونی اپلیکیشن هدف را مشخص می‌کنند تا به خریداران احتمالی نشان دهند که تقریباً چه تعداد کاربر می‌توانند با کد‌های مخرب و ناخواسته تحت تأثیر قرار بگیرند. اکثر فروشندگان حتی قول می‌دهند که کد مخرب را فقط به یک اپلیکیشن با پنح هزار بار دانلود یا بیشتر تزریق می‌کنند.


فروش ابزارهای مخرب گوگل پلی در دارک وب

مجرمان سایبری لودر گوگل پلی‌ای را می‌فروشند که کد مخرب را به یک اپلیکیشن ترکر رمزارز تزریق می‌کند.

سرویس بایندینگ

یکی دیگر از محصولات پرطرفدار در دارک وب، سرویس بایندینگ است. در اصل این‌ها دقیقاً همان کار لودر‌های گوگل پلی را انجام می‌دهند و یک فایل APK مخرب یا ناخواسته را در یک اپلیکیشن قانونی مخفی می‌کنند. با این حال، برخلاف لودر‌ها که با تزریق کد از بررسی‌های امنیتی گوگل پلی در امان می‌مانند، سرویس بایندینگ کد‌های مخرب را در اپلیکیشنی وارد می‌کند که برای بازار رسمی اندروید مناسب نیست. غالباً اپلیکیشن‌های مخرب و ناخواسته ایجاد شده با سرویس بایندینگ از طریق متون فیشینگ، وبسایت‌های مشکوک با بازی‌ها و نرم‌افزار‌های کرک شده و مواردی از این قبیل توزیع می‌شوند.

از آن جایی که شانس نصب موفقیت‌آمیز سرویس‌های بایندینگ نسبت به لودر‌ها کمتر است، هزینه این دو بسیار متفاوت می‌باشد. یک لودر می‌تواند تا پنج هزار دلار به فروش برسد، اما یک سرویس بایندینگ معمولاً حدود پنجاه تا صد دلار به ازای هر فایل قیمت‌گذاری می‌شود.


فروش ابزارهای مخرب گوگل پلی در دارک وب

مزایا و ویژگی‌های سرویس بایندینگ اغلب مشابه لودرهاست با این تفاوت که بایندر‌ها فاقد ویژگی‌های مرتبط با گوگل پلی هستند.

مبهم‌سازی بدافزار

هدف از این کار، دور زدن سیستم‌های امنیتی با پیچیده کردن کد‌های مخرب است. در این حالت، خریدار هزینه‌ای برای پردازش تنها یک اپلیکیشن یا خرید اشتراک جهت پردازش به صورت ماهانه را پرداخت می‌کند. ارائه دهنده خدمات ممکن است بسته‌های تخفیفی پیشنهاد داد. مثلاً یکی از فروشندگان، مبهم‌سازی ۵۰ فایل را با ۴۴۰ دلار انجام می‌دهد در حالی که هزینه پردازش تنها یک فایل توسط همان شخص حدود سی دلار است.


فروش ابزارهای مخرب گوگل پلی در دارک وب

پیشنهاد مبهم‌سازی در گوگل پلی با قیمت ۵۰ دلار به ازای هر سرویس

افزایش تعداد نصب

برای افزایش تعداد دانلود‌های یک اپلیکیشن مخرب، بسیاری از فروشندگان پیشنهاد خرید نصب با افزایش ترافیک اپلیکیشن از طریق تبلیغات گوگل را می‌دهند. علی‌رغم پیشنهادات دیگر در دارک وب، این سرویس کاملاً قانونی است و برای جذب مخاطب استفاده می‌شود. هزینه این سرویس بسته به نوع منطقه و کشور متفاوت است. میانگین قیمت ۰.۵ دلار و پیشنهادات از ۰.۱ تا یک دلار متغیر است. آن طور که در تصویر زیر مشخص است، تبلیغات برای کاربران در آمریکا و استرالیا گران‌ترین و ۰.۸ دلار است.


فروش ابزارهای مخرب گوگل پلی در دارک وب

فروشنده قیمت سرویس را برای هر کشور مشخص کرده است

سایر خدمات

فروشندگان در دارک وب پیشنهاد انتشار برنامه مخرب یا ناخواسته را به جای این که خود خریدار انجام دهد، ارائه می‌دهند. در این صورت، نیازی نیست که خریدار مستقیماً با گوگل پلی تعامل کند و در نهایت فقط داده‌های به سرقت رفته قربانیان را دریافت می‌کند.

میانگین قیمت‌ها و قوانین رایج در خرید و فروش

کارشناسان کسپرسکی قیمت تبلیغات دارک وب مرتبط با گوگل پلی را تجزیه و تحلیل کردند و متوجه شدند که کلاهبرداران از روش‌های پرداختی متفاوتی استفاده می‌کنند. خدمات را می‌توان به ازای دریافت سهمی از سود نهایی، اجاره یا فروش یک‌جا در اختیار خریدار قرار داد. بعضی از فروشندگان کالا‌های خود را حراج می‌کنند و از آن جایی که تعداد اقلام فروشی محدود است، به راحتی قابل شناسایی نیستند و در واقع خریداران با هم بر سر خریدشان رقابت می‌کنند. مثلاً در یکی از مواردی که شاهدش بودیم، مزایده برای لودر گوگل پلی از ۱۵۰۰ دلار شروع شد. تفاوت بین قیمت‌های پیشنهادی ۲۰۰ دلار و قیمت بلیتز (خرید فوری و یک‌جا) ۷۰۰۰ دلار بود.

 

فروش ابزارهای مخرب گوگل پلی در دارک وب

مجرمان سایبری یک لودر گوگل پلی به حراج گذاشته‌اند

قیمت بلیتز تعیین شده در این مورد خاص چندان بالا نیست. در مواردی دیگر، بسته به این که بدافزار چقدر پیچیده است و چه قابلیت‌هایی دارد، قیمت بلیتز بین دو هزار تا بیست هزار متغیر است. میانگین قیمت یک لودر ۶۹۷۵ دلار است.


فروش ابزارهای مخرب گوگل پلی در دارک وب

نمونه‌ای از یک پیشنهاد با قیمت متوسط برای لودر گوگل پلی

با این حال، اگر مجرمان سایبری بخواهند کد منبع لودر را بخرند، قیمت بلافاصله بالا می‌رود و به حدود سقف تعیین شده می‌رسد.


فروش ابزارهای مخرب گوگل پلی در دارک وب

کد منبع ارائه شده برای لودر گوگل پلی از سوی فروشنده به قیمت بیست هزار دلار

برخلاف لودر، حساب یک توسعه دهنده در گوگل پلی (که هک شده یا به تازگی توسط مجرمان سایبری ایجاد شده است) را می‌توان با قیمتی بسیار پایین یعنی دویست دلار یا گاهی حتی با شصت دلار خرید. این قیمت بر اساس ویژگی‌هایی که حساب دارد (از جمله تعداد اپلیکیشن‌هایی که منتشر کرده است و تعداد دانلودها) تعیین می‌شود.


فروش ابزارهای مخرب گوگل پلی در دارک وب

خریدار می‌خواهد یک حساب گوگل پلی با دسترسی به ایمیل توسعه دهنده خریداری کند

در بین انواع و اقسام پیشنهادات فروشی که در دارک وب یافتیم، پیام‌های متعددی از جانب خریداران مبنی بر تمایل آن‌ها به خریدن یک محصول یا سرویس خاص با قیمتی معین پیدا کردیم.


فروش ابزارهای مخرب گوگل پلی در دارک وب

مجرم سایبری به دنبال یک لودر گوگل پلی جدید


فروش ابزارهای مخرب گوگل پلی در دارک وب

کاربری که می‌خواهد یک لودر جدید بخرد

نحوه انجام معاملات

فروشندگان در دارک وب، بسته‌های متنوعی از ابزار‌ها و سرویس‌های مختلف را ارائه می‌دهند. برای لو نرفتن فعالیت‌هایشان، اکثر مجرمان از طریق پیام‌های خصوصی در انجمن‌های دارک وب یا پیام‌های شخصی در شبکه‌های اجتماعی و پیام‌رسان‌هایی مانند تلگرام، با خریداران گفتگو می‌کنند.

شاید به نظر برسد که ارائه‌دهندگان خدمات می‌توانند به راحتی خریداران را فریب دهند و فقط خودشان سود ببرند که اغلب هم همین‌طور است. با این حال، فروشندگانی در دارک وب هستند که سعی دارند شهرت تجاری خود را خدشه‌دار نسازند و برای محصولات خود گارانتی در نظر می‌گیرند یا بعد از تمام شدن عملیات، از مشتری هزینه دریافت می‌کنند. برای به حداقل رساندن خطرات هنگام انجام معاملات، مجرمان سایبری اکثراً از سرویس‌های واسطه‌ای مانند اسکرو (escrow) که خود با سرویس شخص ثالث پشتیبانی می‌شود، استفاده می‌کنند. موضوع قابل توجه اینجاست که هیچ چیز در دارک وب نمی‌تواند ۱۰۰% جلوی کلاهبرداری را بگیرد.

نتیجه‌گیری و توصیه‌ها

ما دائماً موارد تهدید‌کننده امنیت تلفن‌های همراه را رصد می‌کنیم و کاربران را از جدیدترین تهدیدات مطلع می‌سازیم. چندی پیش هم گزارشی درباره تهدیداتی که کاربران گوشی‌های هوشمند در سال ۲۰۲۲ با آن مواجه شدند منتشر کردیم. با توجه به حجم بالای عرضه و تقاضا برای بدافزار‌ها در دارک وب می‌توانیم نتیجه بگیریم که احتمالاً دامنه تهدیدات در آینده گسترده‌تر خواهد شد.

توصیه‌های زیر می‌توانند به تأمین امنیت شما در برابر تهدیدات مربوط به تلفن‌های همراه کمک کنند:

• به هیچ وجه اجازه نصب برنامه‌های ناشناخته را ندهید. اگر اپلیکیشنی مکرراً از شما خواست که چنین مجوزی بدهید، بدانید که به احتمال زیاد آن برنامه آلوده است. در صورت امکان، اپلیکیشن را حذف کنید و گوشی همراه خود را با آنتی ویروس اسکن کنید.

• مجوز‌های برنامه‌هایی که استفاده می‌کنید را چک کنید. به هیچ عنوان اجازه دسترسی به بخش‌هایی را که مربوط به کارکرد اصلی برنامه نمی‌شود (مخصوصاً خدمات دسترسی) ندهید. تنها مجوزی که یک اپلیکیشن مربوط به چراغ قوه نیاز دارد، دسترسی به چراغ قوه است و نه چیز دیگر.

• از یک راه حل امنیتی قابل اعتماد استفاده کنید که بتواند برنامه‌های مخرب و ابزار‌های تبلیغاتی مزاحم را قبل از آلوده کردن دستگاه‌تان شناسایی کند.

• به محض منتشر شدن به‌روز‌رسانی‌ها، سیستم عامل و اپلیکیشن‌های مهم خود را به‌روز‌رسانی کنید. برای اطمینان از آلوده نبودن اپلیکیشن به‌روز‌رسانی شده، اسکن خودکار سیستم را فعال کنید یا بلافاصله بعد از نصب، دستگاه را اسکن کنید.
سازمان‌ها لازم است حساب‌های توسعه‌دهندگان خود را با رمز عبور‌های قوی و ۲FA محافظت کنند. همچنین جهت تشخیص موارد نقض اطلاعاتی در اسرع وقت، بر دارک وب نظارت مستمر داشته باشند.