نفوذ هکرها به یک میلیون حساب گوگلی

به گزارش واحد هک و نفوذ سایبربان؛ طبق اعلام موسسه اسرائیلی چک پوینت، بدافزار جدید فعال در دستگاه‌های اندرویدی، به حدود یک میلیون حساب کاربری در گوگل نفوذ کرده است. گوگل این خبر را تائید و اعلام کرده که هیچ‌گونه اطلاعاتی از کاربرانش افشا نشده است. بنا به اعلام چک پوینت، بدافزار گولیگان دستگاه‌های مجهز به اندروید 4 و 5 را نشانه گرفته و به هکر امکان دسترسی به حساب‌های گوگل، مشاهده پیام‌ها، اسناد، تصاویر و سایر اطلاعات ذخیره شده را می‌دهد. گولیگان دستگاه‌های اندرویدی را با برنامه‌های آلوده یا لینک‌های مخرب آلوده می‌کند. طبق اعلام محققان چک پوینت، کد گولیگان اولین بار در برنامه مخربی با نام اسنپ پی (SnapPea) ظاهر شده است؛ هر چند که در ابتدا این حملات به خانواده‌های بدافزاری مختلفی از قبیل Ghostpush نسبت داده می‌شد. محققان می‌گویند: «در تعداد زیادی از برنامه‌هایی که در فروشگاه‌های قانونی نرم‌افزار اندرویدی طرف سوم به فروش می‌رسند، نشانه‌هایی از گولیگان را مشاهده کردیم. این فروشگاه‌های نرم‌افزاری جایگزین جذابی برای گوگل پلی به شمار می‌روند زیرا بسیاری از برنامه‌های آنها به طور کاملاً رایگان عرضه می‌شود یا همراه برنامه‌های پولی، نسخه رایگان آنها نیز ارائه می‌شود.»

گولیگان یکی از جدیدترین کمپین‌های حمله به دارندگان حساب‌های گوگلی است. بنا به ادعای تحلیلگران فنی، این بزرگ‌ترین نفوذ به حساب‌های گوگل تا به امروز بوده است. گولیگان عمدتاً گوشی‌های تلفن همراهی را هدف می‌گیرد که از نسخه‌های قدیمی‌تر اندروید استفاده می‌کنند. هم‌اکنون حدود 74 درصد از گوشی‌های تلفن همراه از اندرویدهای به روز نشده استفاده می‌کنند. گولیگان اغلب از طریق مخفی شدن در برنامه‌های رایگان و از طریق فیشینگ (لینک‌های آلوده موجود در ایمیل) دستگاه را آلوده می‌کند.

در یکی از نوشته‌های وبلاگ چک پوینت آمده که گولیگان با هدف قرار دادن دستگاه‌های اندروید 4 و 5، تهدید بالقوه‌ای برای 74 درصد از بازار اندروید به شمار می‌رود. بدافزار گولیگان، نفوذ خود را با بهره‌گیری از دو حفره امنیتی شناخته شده در این سیستم‌عامل‌های اندرویدی انجام می‌دهد. این حفره‌ها هنوز هم دستگاه‌های زیادی را در معرض تهدید قرار می‌دهد زیرا وصله‌های امنیتی رفع کننده آنها برای برخی نسخه‌های اندروید در دسترس نیست یا اصلاً کاربر اقدام به نصب آنها نمی‌کند. مهاجمان از یکی از شناخته‌شده‌ترین مشکلات امنیتی اندروید استفاده کرده‌اند- پراکندگی نسخه‌های متعدد اندروید و پراکندگی تولیدکنندگان گوشی‌های موبایل. سرعت کند به‌روزرسانی، مخصوصاً در مقایسه با سیستم‌عامل آی‌اواس اپل، گاهی باعث می‌شود به‌روزرسانی‌ها به‌موقع به دست کاربران نرسد و موجب رخنه این‌گونه بدافزارها شود. دانلود برنامه‌های رایگان و باز کردن ایمیل‌های ناشناس، احتمال آلوده شدن دستگاه‌ها را بالا می‌برد.

بنا به اعلام چک پوینت، روزانه حدود 13.000 دستگاه مورد حمله گولیگان قرار می‌گیرند که از این تعداد، 57 درصد در آسیا، 19 درصد در امریکای شمالی و جنوبی و 9 درصد در اروپا قرار دارند. چک پوینت روش کار این بدافزار را این طور توضیح می‌دهد که دستگاه معمولاً پس از دانلود یک برنامه آلوده، اطلاعات دستگاه را به سرور فرمان و کنترل مهاجم ارسال می‌کند. این بدافزار همچنین ابزاری موسوم به روت کیت را دانلود می‌کند که امکان کنترل کامل دستگاه را به هکر می‌دهد. اگر روت کردن (rooting) با موفقیت انجام شود، کلیه اطلاعات ایمیل کاربر از جمله اطلاعات احراز هویت وی به سرقت خواهد رفت. بدافزار با به دست آوردن این اطلاعات، برنامه‌هایی را از گوگل پلی روی گوشی کاربر نصب کرده و رده‌بندی و اعتبار آنها را با امتیازدهی بالا می‌برد. علاوه بر این، برای کسب درآمد اقدام به نصب آگهی‌افزار (ابزارهای تبلیغاتی مزاحم) می‌کند.

طبق گفته مدیر امنیت گوگل، هدف گولیگان سرقت اطلاعات نیست بلکه حمایت از برنامه‌هاست. آدریان لودویگ (Adrian Ludwig)، رئیس گروه امنیت سایبری گوگل، در نوشته‌ای ضمن تائید خبر چک پوینت توضیح داد که شرکت گوگل از سال 2014 خانواده بدافزارهای Ghost Push را ردگیری می‌کرده است. لودویگ این خانواده بدافزاری را مجموعه عظیمی از برنامه‌های بالقوه مضر می‌داند که عموماً در شاخه دانلودکننده‌های نامطلوب جای می‌گیرند. وی می‌گوید: «این برنامه‌ها اغلب از جایی بیرون از گوگل پلی دانلود شده و پس از نصب، برنامه‌های Ghost Push تلاش می‌کنند برنامه‌های دیگری را دانلود کنند.» توصیه لودویگ برای محافظت از حساب کاربری گوگل این است که سیستم‌عامل و برنامه‌های گوشی به روز شوند. طبق اعلام چک پوینت، کاربران می‌توانند برای تشخیص این که دستگاه‌های آنها به این بدافزار آلوده شده یا خیر به این آدرس مراجعه کنند.