יש סיבה לפחד?

תוכנה זדונית חדרה למיליוני טלפונים סלולרים בעולם

חוקרי חברת צ'ק פוינט התריעו בפני גוגל על כניסת אפליקציות שאפשרו תרמית פרסום לחנות האפליקציות של גוגל. כתוצאה מכך הוסרו האפליקציות הנגועות (דיגיטל)

בני סולומון | כיכר השבת |
אילוסטרציה (צילום: שאטרסטוק)

גרסה חדשה של התוכנה הזדונית "Hummingbad", שהוחבאה ביותר מ-20 אפליקציות ב-Google Play, התגלתה על ידי חוקרי צ'ק פוינט.

המחקר של חברת אבטחת המידע העלה כי בתקופת פעילותן, נרשמו כמה מיליוני הורדת של האפליקציות הנגועות על ידי משתמשי אנדרואיד ברחבי העולם. צ'ק פוינט דיווחה על האפליקציות הנגועות ליחידת האבטחה של Google, שהסירה אותן מחנות האפליקציות באופן מידי.

בצ'ק פוינט אמרו כי הגרסה החדשה של התוכנה הזדונית, שכונתה על ידי חוקרי החברה HummingWhale, מכילה טכנולוגיות חדשות המאפשרות לה לייצר הונאות פרסום מתוחכמות.

הנוזקה המקורית Hummingbad התגלתה על ידי צ'ק פוינט בחודש פברואר 2016. ביולי האחרון, חשפה החברה את התשתית שמאחורי הנוזקה, וכן את קבוצת Yingmob העומדת מאחוריה. התוכנה הזדונית התקינה אפליקציות פרסום למכשירי המשתמשים ללא אישורם. היא הופצה תחילה דרך חנויות אפליקציות לא רשמיות, וכך הגיעה למכשיריהם של יותר מ-10 מיליון משתמשים. הנוזקה השיגה שליטה מלאה במכשירים במטרה לייצר רווח מהונאות פרסום, ואף הגיעה לרווחים של כ-300 אלף דולרים בחודש.

כעת, הנוזקה הופיעה שנית –-והפעם בחנות הרשמית, Google Play. הגרסה החדשה, Hummingwhale, התגלתה באפליקציה לאחר שביצעה פעולות חשודות במכשיר בעת כיבויו. לאחר מכן גילו חוקרי צ'ק פוינט שורה של אפליקציות המבצעות פעולות דומות, כאשר המשותף לרובן הוא מבנה שם הקובץ שניתן להן על ידי המפתחים הכולל את הרצף com.XXXXXXX.camera. לדוגמה: com.bird.sky.whale.camera, com.color.rainbow.camera. כל האפליקציות הועלו בשמות מזוייפים של מפתחים סיניים.

כיצד פועלת התרמית? בצ'ק פוינט מסבירים כי תחילה, שרת הפיקוד והשליטה (C&C) של הנוזקה שולח לאפליקציה את הפרסומות המזויפות שהיא מציגה בפני המשתמש. כאשר המשתמש מנסה לסגור אותן, מייצרת הנוזקה הקלקה מזויפת המניבה רווח לעומדים מאחורי הנוזקה. כמו כן, הנוזקה מאפשרת לתוקפים להתקין אפליקציות מזויפות למכונות וירטואליות מבלי לבקש אישור. בגרסה החדשה, הצליחו התוקפים לייצר את אותה הונאה מבלי להזדקק ליכולות שליטה במכשיר, על ידי שימוש במכונה הווירטואלית המריצה את האפליקציות שהותקנו.

מכיוון שפעילותה מוסווית בתוך אפליקציות שנראות לגיטימיות לכאורה, היא הצליחה למצוא את דרכה לחנות האפליקציות הרשמית של Google. כדי להסוותה, יצרו העומדים מאחורי גם ביקורות מזויפות ב-Google Play, והעניקו לאפליקציות הנגועות דירוגים גבוהים והמלצות.

מן הארכיון: כך וירוסים חודרים לאייפון כאפליקציות לגיטמיות

הכתבה הייתה מעניינת?

תוכן שאסור לפספס

0 תגובות

אין לשלוח תגובות הכוללות דברי הסתה, לשון הרע ותוכן החורג מגבול הטעם הטוב.

טוען תגובות...
תוכן שאסור לפספס

עכשיו בכותרות
הנקראים ביותר
המדוברים ביותר