به گزارش کارگروه حملات سایبری سایبربان؛ بهتازگی کارشناسان آزمایشگاه کسپرسکی بدافزاری به نام شاپر (Shopper) شناسایی کردهاند که مهاجمان از طریق آن اقدام به انتشار تبلیغات جعلی کرده و بدون اجازه مالکان گوشیهای اندروید برنامههای مختلفی در آنها نصب کرده و از طرف آنها در گوگل پلی پیامها و نظرات جعلی منتشر میکنند. بیشترین حملات این بدافزار در ماه دسامبر 2019، علیه کاربران روسی، برزیلی و هندی بوده است.
این تروجان با بهرهگیری از قابلیت سرویسهای دسترسی (Accessibility Service)، با رابط سیستم و اپلیکیشنها ارتباط برقرار کرده و دادههای صفحهنمایش را سرقت میکند و کلیدها را فشار داده و عملکرد کاربر را شبیهسازی میکند.
به گفته کارشناسان این آزمایشگاه، زمانی که کاربر اقدام به بارگیری یک برنامه بهظاهر قانونی میکند، شاپر از طریق تبلیغات جعلی و یا فروشگاههای اپلیکیشن ثالث وارد دستگاه او شده و وانمود میکند یکی از برنامههای سیستم منجمله برنامه پاکسازی و افزایش سرعت گوشی است. سپس پشت نقاب اپلیکیشن ConfigAPKs اطلاعات مربوط به دستگاه قربانی را جمعآوری کرده و به سرورهای فرماندهی و کنترل ارسال میکند و پس از اجرای دستورات دریافتی، ممکن است اقدام به موارد زیر بکند:
- استفاده از اکانتهای گوگل یا فیس بوک بدون اجازه کاربر جهت ثبتنام در اپلیکیشنهای خرید یا سرگرمی،
- انتشار نظرات جعلی در اپلکیشنها،
- غیرفعال ساختن قابلیت Google Play Protect که امنیت برنامههای گوگل پلی را پیش از بارگیری بررسی میکند،
- نمایش پنجرههای تبلیغاتی و ایجاد میانبرهایی برای برنامههای تبلیغاتی در منوی اپلیکیشن ها،
- دانلود و نصب برنامههای گوگل پلی بدون اطلاع مالک دستگاه،
- تغییر میانبرهای برنامههای نصبشده به میانبرهای صفحات تبلیغاتی.
به گفته کارشناسان این آزمایشگاه، شاپر عمدتاً روی فروشگاههای آنلاین هدفگذاری شده و عملکرد آن محدود به نظرات جعلی و دستکاری رتبهبندیها است، اما ممکن است توسعهدهندگان آن در آینده قابلیتهای جدیدی به آن اضافه کنند. کاربران نیز میبایست دقیق بدانند از چه منابعی برنامهها را دانلود میکنند.
