بدافزارهای تبلیغاتی را بشناسید و حذف کنید



علاوه‌بر سیل تبلیغات فراوانی که هر روز به کاربران گوشی‌های هوشمند نمایش داده می‌شوند، برنامه‌های تقلبی نیز با جعل‌هویت اپلیکیشن‌های محبوب سعی دارند با نمایش تبلیغات آشکار و پنهان، کسب درآمد کنند. اگرچه این‌نوع برنامه‌ها به‌عنوان تهدید جدی درنظر گرفته نمی‌شوند، اما سازندگان می‌توانند برای فعالیت‌های خطرناک از آن‌ها بهره ببرند.

تیم امنیتی Satori Threat Intelligence HUMAN مجموعه‌ای از برنامه‌های گوشی‌های هوشمند را شناسایی کرده است که درواقع بخشی از یک کمپین جدید کلاه‌برداری تبلیغاتی موسوم به Scylla هستند.

به‌نوشته‌ BleepingComputer، تحلیل‌گران باور دارند که Scylla درواقع موج سوم عملیاتی است که اولین‌بار با نام Poseidon در آگوست ۲۰۱۹ شناسایی شد. موج دوم این کمپین Charybdis نام داشت که اواخر سال ۲۰۲۰ به‌اوج فعالیت خود رسید.

برنامه‌های کلاه‌برداری تبلیغاتی

تیم Satori، درمورد اپلیکیشن‌های تبلیغاتی کلاه‌برداری به گوگل و اپل اطلاع داده است و این برنامه‌ها اکنون از فروشگاه‌های رسمی اندروید و iOS حذف شده‌اند. اگر در دستگاه اندروید خود، گزینه‌ی امنیتی Play Protect را فعال کرده باشید، این برنامه‌ها احتمالاً به‌طور خودکار شناسایی شده‌اند.

در iOS نحوه‌ی حذف برنامه‌های تبلیغاتی که از قبل روی دستگاه کاربران نصب شده‌اند دقیقاً مشخص نیست. Human به کاربران توصیه می‌کند برنامه‌های جعلی را هرچه سریع‌تر از روی دستگاه خود حذف کنند. فهرست این برنامه‌ها برای دو سیستم‌عامل اندروید و iOS در ادامه آورده شده است:

فهرست اپلیکشین‌های جعلی تبلیغاتی در iOS:
Loot the Castle – com.loot.rcastle.fight.battle (id۱۶۰۲۶۳۴۵۶۸)
Run Bridge – com.run.bridge.race (id۱۵۸۴۷۳۷۰۰۵)
Shinning Gun – com.shinning.gun.ios (id۱۵۸۸۰۳۷۰۷۸)
Racing Legend ۳D – com.racing.legend.like (id۱۵۸۹۵۷۹۴۵۶)
Rope Runner – com.rope.runner.family (id۱۶۱۴۹۸۷۷۰۷)
Wood Sculptor – com.wood.sculptor.cutter (id۱۶۰۳۲۱۱۴۶۶)
Fire-Wall – com.fire.wall.poptit (id۱۵۴۰۵۴۲۹۲۴)
Ninja Critical Hit – wger.ninjacriticalhit.ios (id۱۵۱۴۰۵۵۴۰۳)
Tony Runs – com.TonyRuns.game

فهرست اپلیکیشن‌های جعلی تبلیغاتی در اندروید که بیش‌از یک میلیون‌بار دانلود شده‌اند:
Super Hero-Save the world! – com.asuper.man.playmilk
Spot ۱۰ Differences – com.different.ten.spotgames
Find ۵ Differences – com.find.five.subtle.differences.spot.new
Dinosaur Legend – com.huluwagames.dinosaur.legend.play
One Line Drawing – com.one.line.drawing.stroke.yuxi
Shoot Master – com.shooter.master.bullet.puzzle.huahong
Talent Trap – NEW – com.talent.trap.stop.all
فهرست کامل برنامه‌های جعلی تبلیغاتی اندروید و iSO که بخشی از موج کلاه‌برداری Scylla هستند در گزارش HUMAN ارائه شده است.

جزئیات بدافزار
شناسه‌ی بسته‌ی بدافزار‌های Scylla معمولاً با نام ناشر آن‌ها مطابقت ندارد تا به تبلیغ‌کنندگان نشان دهد کلیک یا نمایش آگهی‌ها از یک دسته‌ی نرم‌افزاری خاص، سودآورتر است. محققان Human دریافته‌اند که ۲۹ برنامه‌ی از سری Scylla تا ۶۰۰۰ برنامه‌ی مبتنی‌بر CTV را جعل کرده و شناسه‌های تبلیغاتی آن‌ها به‌منظور جلوگیری از شناسایی‌شدن، به‌طور منظم تغییر می‌کند.

تبلیغات در اندروید ازطریق پنجره‌های WebView پنهان بارگذاری می‌شوند و بنابراین شخص قربانی هرگز متوجه نکته‌ی مشکوکی نخواهد شد، زیرا همه‌ی اتفاق‌ها در پس‌زمینه‌ی دستگاه رخ می‌دهند.

علاوه‌براین، ابزار تبلیغاتی مورداشاره از سیستم JobScheduler برای راه‌اندازی رویداد‌های نمایش تبلیغات بهره می‌برد و بنابراین حتی زمانی‌که قربانیان به‌طور فعال از دستگاه‌های خود استفاده نمی‌کنند، مثلاً هنگام خاموش بودن نمایشگر، از آن برای نمایش آگهی‌ها بهره می‌برند.

نشانه‌های تقلب در فایل‌های گزارش سیستم‌عامل ثبت می‌شوند، اما کاربران عادی، این موارد را بررسی نمی‌کنند.

برنامه‌های Scylla درمقایسه با Poseidon از لایه‌های دیگری مثل Allatori برای مبهم‌تر کردن کد جاوا بهره می‌برند. این فرایند امکان تشخیص و مهندسی معکوس بدافزار‌های تبلیغاتی را برای محققان امنیتی دشوارتر می‌کند.

کاربران باید برنامه‌های خود را ازنظر میزان مصرف باتری و همچنین میزان مصرف داده‌های اینترنت مورد بررسی قرار دهند تا بدین‌ترتیب موارد مشکوک را شناسایی کنند. علاوه‌براین، توصیه می‌شود فهرست برنامه‌های نصب‌شده روی گوشی هوشمند خود را مرور و نمونه‌هایی که به‌یاد ندارید آن‌ها را نصب کرده باشید حذف کنید.



منبع