شکارچی خاموش اندروید/ تروجانی که با نام اپلیکیشن‌های معتبر به گوشی شما نفوذ می‌کند؟

تینا مزدکی_دنیای امنیت اندروید با تهدید جدیدی روبرو شده است؛ یک تروجان دسترسی از راه دور (RAT) جدید به نام «Cellik» شناسایی شده که با سوءاستفاده از ساختار اپلیکیشن‌های موجود در گوگل‌پلی، نسخه‌های مخربی از برنامه‌های معتبر را تولید می‌کند. بر اساس گزارش شرکت امنیتی iVerify، این بدافزار نه‌تنها توانایی کنترل کامل دستگاه را دارد، بلکه می‌تواند توسط مهاجمان در دل اپلیکیشن‌های کاملاً قانونی و شناخته‌شده بسته‌بندی و توزیع شود.

بدافزاری برای هکرهای آماتور
Cellik در دسته‌بندی نوظهوری به نام «x-as-a-service» قرار می‌گیرد. در این مدل، مجرمان سایبری می‌توانند با پرداخت هزینه، به نسخه‌های آماده‌ای از ابزارهای مخرب از جمله سارقان اعتبارنامه، باج‌افزارها و کیت‌های فیشینگ دسترسی پیدا کنند. نکته نگران‌کننده درباره Cellik این است که یک بدافزار «بالغ» محسوب می‌شود؛ به این معنا که حتی هکرهایی با مهارت فنی پایین نیز می‌توانند با کمترین تلاش از آن استفاده کنند.
زمانی که این بدافزار به گوشی اندرویدی قربانی نفوذ می‌کند، مهاجم کنترل مطلق دستگاه را به دست می‌گیرد. Cellik می‌تواند محتوای صفحه نمایش را به صورت مستقیم برای هکر استریم کند و به او اجازه دهد گوشی را از راه دور هدایت نماید.
این تروجان به ویژگی کی‌لاگر (Keylogger) مجهز است که تمام تایپ‌های کاربر را ثبت می‌کند. اما قابلیت‌های آن به اینجا ختم نمی‌شود؛ مهاجم می‌تواند اعلان‌های روی صفحه، رمزهای عبور یک‌بار مصرف (OTP) و سیستم فایل گوشی را مشاهده کند. این دسترسی شامل داده‌های حساس مرورگر مانند کوکی‌ها و حتی نام‌های کاربری و رمزهای عبور ذخیره شده نیز می‌شود.
طبق تحلیل iVerify، مهاجم با استفاده از این بدافزار می‌تواند تمامی فایل‌ها را مشاهده، دانلود، آپلود یا حذف کند و حتی به فضاهای ذخیره‌سازی ابری متصل به گوشی دسترسی یابد. هکر قادر است به وب‌سایت‌ها برود، روی لینک‌ها کلیک کند و فرم‌ها را پر کند؛ در حالی که قربانی هیچ فعالیتی را روی صفحه نمایش خود مشاهده نمی‌کند.
علاوه بر این، Cellik قدرت ایجاد صفحات جعلی (Overlay) روی اپلیکیشن‌های اصلی را دارد (مثلاً نمایش یک صفحه ورود فیک روی برنامه بانکی). همچنین دارای یک سیستم سازنده خودکار است که می‌تواند در گوگل‌پلی جستجو کرده، یک اپلیکیشن معتبر را دانلود، کد مخرب Cellik را به دور آن بپیچد و دوباره بسته‌بندی کند تا برای قربانیان ارسال شود.

چگونه Cellik از سد «گوگل‌پلی پروتکت» عبور می‌کند؟
خطر اصلی Cellik در توانایی آن برای دور زدن ویژگی‌های امنیتی نظیر Play Protect نهفته است. اگرچه گوگل‌پلی پروتکت می‌تواند اپلیکیشن‌های ناشناخته یا مخرب را شناسایی کند، اما تروجانی که در دل یک بسته نرم‌افزاری محبوب و شناخته‌شده پنهان شده باشد، ممکن است به راحتی از این فیلتر عبور کند.
این اپلیکیشن‌های آلوده معمولاً در سایت‌های شخص ثالث و مکان‌هایی که کاربران اقدام به سایدلود (نصب خارج از استور رسمی) می‌کنند، یافت می‌شوند. پس از نصب، بدافزار در پس‌زمینه اجرا شده و بدون نیاز به هیچ‌گونه اکسپلویت پیچیده و تنها با تکیه بر «مهندسی اجتماعی» و اعتماد کاربر، دسترسی کامل را به هکر می‌دهد.
کارشناسان امنیتی توصیه می‌کنند برای به حداقل رساندن خطر ابتلا به این بدافزار، کاربران باید همواره با تاکتیک‌های مهندسی اجتماعی آشنا باشند و در انتخاب منبع دانلود اپلیکیشن‌ها دقت کنند. بهترین روش‌ها برای محافظت شامل موارد زیر است:

پرهیز از سایدلود: تا حد امکان اپلیکیشن‌ها را فقط از فروشگاه‌های رسمی (مانند گوگل‌پلی) دریافت کنید.
بررسی امضاها: در صورت اجبار به سایدلود، هش‌ها و امضاهای فایل APK را به صورت دستی تایید کنید.
استفاده از راهکارهای امنیتی: نصب نرم‌افزارهایی که توانایی شناسایی و واکنش به بدافزارها را دارند، می‌تواند یک لایه امنیتی اضافی ایجاد کند.

در نهایت، گزارش‌ها نشان می‌دهد که راحتی استفاده از Cellik برای هکرها، آن را به تهدیدی جدی تبدیل کرده است. در دورانی که هکرها می‌توانند بدافزار را به دور یک اپلیکیشن کاملاً عادی بپیچند، اعتماد به منابع غیررسمی می‌تواند به قیمت از دست رفتن حساب‌های بانکی، رمزهای عبور و تمامی اطلاعات شخصی تمام شود.
منبع: phonearena
۲۲۷۳۲۳