انتشار تروجان Ghost Push به کمک پیوندهای مخرب

۷شرکت Cheetah Mobile می‌گوید معضل بدافزاری Ghost Push هنوز دست از سر دستگاه‌های اندرویدی برنداشته است، گفتنی است که دو سال از بروز اولین نشانه‌های این بدافزار می‌گذرد.
حال شرکت امنیتی مذکور در تلاش است تا دریابد که چگونه Ghost Push و سایر تروجان‌ها با وجود اقدام‌های انجام‌شده برای حذف آن‌ها کماکان فعال باقی مانده‌اند.
در گزارشی که روز جمعه درباره‌ی تجزیه و تحلیل بدافزارهای تلفن همراه منتشر شد، آزمایشگاه Cheetah Mobile Security Research بیان داشته که اکثریت آلودگی‌ها ناشی از تروجان‌‌های خارج از فروشگاه نرم‌افزارهای گوگل پلی هستند. همچنین گزارش شده که هر روز یک درصد از میلیون‌ها برنامه‌ی بارگیری‌شده متعلق به تروجان‌ها می‌باشد. در این میان پرکارترین نمونه‌ی بدافزاری Ghost Push است.
این بدافزار با آلوده‌ کردن ۹۰۰هزار دستگاه اندرویدی در سال ۲۰۱۵ میان تروجان‌های دیگر خودی نشان داد. Ghost Push خود را داخل برنامه‌ها پنهان می‌کند و قادر است به دسترسی ریشه برسد. این برنامه‌ی مخرب به خاطر عمل‌کرد پنهانی و نفوذ مخفیانه به داخل برنامه‌هایی شهرت دارد که در گوگل پلی موجود هستند؛ Ghost Push اغلب با نسخه‌های جعلی برنامه‌های محبوبی مانند سوپر ماریو، WiFi Enhancer و WordLock همراه است.
Ghost Push به خاطر توانایی خود در دور زدن تدابیر امنیتی گوگل پلی و سایر فروشگاه‌های شخص ثالث این نام را برای خود برگزیده است. محققان می‌گویند که Ghost Push و دیگر تروجان‌ها به علت افزایش اقدام‌های دفاعی گوگل پلی، روش‌های خود را عوض کرده‌اند و قربانی‌های تازه‌ی خود را با پیوندهای مخربی که توسط وب‌گاه‌های تلفن همراه ارائه می‌شوند، پیدا می‌کنند.
از میان ۱۲ نمونه‌ی بدافزاری که از طریق پیوندهای مخرب پخش شده‌اند، همه‌ی آن‌ها متعلق به همین خانواده‌ی بدافزاری Ghost Push است.
با این حال، این شرکت گفته که بیشتر تروجان‌ها از منابع ناشناس بارگیری شده‌اند. با توجه به آمار می‌توان گفت که حدود یک سوم از تمامی برنامه‌های کاربردی بدون نیاز به مؤلفه‌ی نصاب در تلفن‌های کاربران بارگیری و نصب می‌شوند. این بدان معناست که منابع این برنامه‌ها قابل ردیابی نیستند. متأسفانه اکثریت تروجان‌های تلفن همراه از همین منابع ناشناس هستند. این تردید وجود دارد که نرم‌افزارهای مخربی که از این منابع ناشناس حاصل می‌شوند در حقیقت همان بارگیری‌های پیشنهادی توسط وب‌گاه‌های مستهجن، تبلیغات فریبنده، و آگهی‌های درون‌برنامه‌ای باشند که این نرم‌افزارهای مخرب را ترویج می‌دهند. هنگامی که کاربران روی این پیوندها کلیک می‌کنند، با دو برنامه‌ی آغشته به تروجانی که در صدر فهرست هستند، یعنی Wireless Optimizer و WiFi Master Pro مواجه می‌شود که هر دو برنامه گوشی‌های تلفن را هدف قرار داده و آگهی‌های مخرب را در آن‌ها به نمایش درمی‌آورند.
نقاطی از جهان که بیشترین آسیب را از Ghost Push و سایر گونه‌های بدافزاری دیده‌اند مالزی، ویتنام، و کلمبیا می‌باشند.
وقتی Cheetah به بررسی ابرپیوندها پرداخت متوجه شد که اکثر آن‌ها در واقع URLهای کوتاه‌شده‌ای هستند که ترافیک را به یک پیوند مخرب ارجاع می‌دهند. Cheetah با بررسی موشکافانه‌ی وب‌گاه‌هایی که پیوندهای مخرب را در اختیار تروجان‌ها قرار می‌دهند متوجه شد که بیشتر بدافزارها از آگهی‌ها، وب‌گاه‌های مستهجن، وب‌گاه‌های سارق موزیک، و یا وب‌گاه یک وب‌لاگ‌نویس نشأت گرفته‌اند.
از آن‌جایی که این تروجان نمونه‌های ریشه یا همان روت را چندین بار به‌روز می‌نماید، در حال حاضر قادر است همه‌ی نسخه‌های اندرویدی به غیر از اندروید ۶.۰ را به حالت روت درآورد. به گزارش ۲۰۱۵ شرکت ترندمیکرو، بیش از ۲۰ نوع مختلف از کد Ghost Push وجود دارد که این کدها داخل حدود ۶۰۰ برنامه‌ی اندرویدی نامناسب جا خوش کرده‌اند. در اوایل این سال میلادی، وقتی که گوگل گزارش امنیتی سالانه‌ی خود را منتشر کرد، متوجه شد که یک شرکت در جنوب شرقی آسیا که مسئول ساختار به‌روزرسانی OTA، و به‌روزرسانی تولیدکنندگان و حاملان اندروید است، مورد نفوذ واقع شده و سعی دارد تروجان Ghost Push را توزیع کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.