حمله بدافزار Judy به 5/36 میلیون کاربر اندروید

Judy Android Malware

بر اساس گزارش شرکت Check Point، بدافزار Judy احتمالاً از بزرگ‌ترین نرم‌افزارهای مخرب کشف‌شده در Google Play حمله بدافزار Judy به 5/36 میلیون کاربر اندروید: می‌باشد. گمان می‌رود که حدود 36.5 میلیون کاربران اندروید ممکن است آلوده این بدافزار مخرب شده باشند. باج افزار Judy آگهی‌های جعلی قابل کلیک تولید می‌کند و از این راه جیب توسعه‌دهندگان را پرکرده است.
بر اساس این گزارش ، 41 برنامه توسعه‌یافته آلوده توسط شرکت کره‌ای Kiniwini و منتشرشده تحت نام شرکت ENISTUDIO دستگاه‌ها را آلوده کرده و اقدام به تولید مقادیر زیادی کلیک جعلی در تبلیغات کرده که باعث ایجاد درآمد برای عاملان آن شده است. Judy نام شخصیت در بازی‌های کارتونی Kiniwini (آشپز جودی- Chef Judy ، حیوانات جودی – Animal Judy و مد جودی- Fashion Judy) می‌باشد.
پس از دریافت هشدار و بررسی آن‌ها، گوگل “به‌سرعت” برنامه‌ها را از Google Play حذف نمود اما این برنامه‌ها 4.5 و18.5 میلیون بار دانلود شدند. برخی از اپ ها برای چند سال در فروشگاه موجود بودند و همه اخیراً به‌روزرسانی شدند. مشخص نیست که کدهای مخرب چه مدت در اپ ها وجود داشتند و ازاین‌رو از گسترش نرم‌افزارهای مخرب آگاهی وجود ندارد. اما بررسی‌ها تخمین دانلود رابین 8.5 و 36.5 میلیون کاربر می‌زنند.
روش آلوده سازی
هکرها یک برنامه بی‌ضرر ایجاد می‌کنند که می‌تواند از لایه امنیتی گوگل (Google’s Bouncer security screening) عبور کند و در فروشگاه نرم‌افزار قرار گیرد. هنگامی‌که یک کاربر برنامه مخرب را دریافت می‌کند، آن پنهانی کاربر را ثبت، با سرور C&C خود ارتباط گرفته و اطلاعات را ارسال می‌کند. این سرور سپس payload مخرب که شامل کدهای جاوا اسکریپت، user-agent string و URL کنترل نویسنده بدافزار را ارسال می‌کند.
این بدافزار URL ها را با استفاده ازuser agent یک مرورگر کامپیوتر قلابی را در یک صفحه وب پنهان می‌کند و دستور برای هدایت به یک وب‌سایت دیگر را دریافت می‌کند. هنگامی‌که وب‌سایت مورد هدف باز شود، این بدافزار با استفاده از کدهای جاوا اسکریپت، آگهی‌ها در زیرساخت‌های تبلیغات گوگل را پیدا می‌کند و روی آن‌ها کلیک می‌کند.
Judy تشابه به دو بدافزار قبلی بانام‌های FalseGuide و Skinner دارد و مانند یکی دیگر از گونه‌های dresscode پشت بررسی‌ها (Reviews) خوب پنهان می‌شود. هکرها می‌توانند هدف اصلی برنامه‌های خود را پنهان کنند و یا حتی رتبه‌های مثبت، بدون اطلاع کاربر، را دستکاری کنند. کاربران نمی‌توانند به فروشگاه‌های معتبر برای ایمنی اطمینان داشته باشند و باید از امنیت و حفاظت پیشرفته استفاده کنند که بتواند حملات zero-day موبایلی را تشخیص داده و مسدود کند. حمله بدافزار Judy به 5/36 میلیون کاربر اندروید
Kiniwini برنامه برای iOS و اندروید می‌سازد و به برنامه‌های iOS اشاره نکرد. از بعدازظهر یکشنبه (7/3/96)، 45 برنامه جودی شرکت ENISTUDIO در فروشگاه App Store در دسترس می‌باشند که اکثر آن‌ها آخرین به‌روزرسانی را در 31 مارس 2017 داشته‌اند.حمله بدافزار Judy به 5/36 میلیون کاربر اندروید