شيء واحد يمكن للمستخدمين الروبوت يجب أن تعرف عن أجهزتهم هو أن تحديثات النظام تأتي تلقائيا ولا تتطلب تحميل وتثبيت أي أداة أخرى. وينبغي أن يتم لقول miliions من المستخدمين يتطلعون إلى الحصول على سقوط آخر تحديثات البرامج الروبوت ضحية لخدعة على موقع Google Play السوق عن طريق تحميل التطبيق التي تنتشر فيها برامج التجسس.
ووفقا للباحثين الأمنية من شركة Zscaler ، التطبيق يدعى "تحديث النظام" تظاهروا بأنهم التطبيق الشرعي في متجر Google Play. وادعت لتزويد المستخدمين مع إمكانية الوصول إلى أحدث تحديثات البرامج الروبوت، التي ليست شيئا التطبيق طرف ثالث يمكن القيام به. جعل التجسس طريقها إلى مخزن في عام 2014، وكان بين 1 و 5 مليون تنزيل في الوقت الذي تم اكتشافه.
في غضون ذلك، وقد نبهت غوغل وتمت إزالة التطبيق. بعد ثلاث سنوات، ومع ذلك، فإنه من المحتمل جدا فعلت الكثير من الضرر. تم استخدام التطبيق للتجسس على تحديد الموقع الجغرافي المحدد المستخدم، والتي يمكن استخدامها لمجموعة واسعة من الأسباب الخبيثة.
نلقي نظرة على التطبيق، يمكن أن تجد الأحمال والأحمال من الاستعراضات سيئة مع الناس يشكون من أن التطبيق لا يعمل. هذا، وحده، كان ينبغي أن يكون الهبات القتلى. وإذا كان هذا لا يساعد، ومع ذلك، ذهب المستخدمين على، قائلا أنه بمجرد حاولوا فتح التطبيق هو فقط قال "لسوء الحظ، تحديثات نظام توقف"، في حين قال آخرون بدأت هواتفهم تجميد وتشغيل بطيئة. وكانت مؤشرات أخرى أن هذا لم يكن التطبيق السليم لعدم وجود لقطات تعلق على التطبيق أو عدم وجود وصف مناسب.
"التطبيق في هذا التحليل يصور نفسه على أنه تحديث النظام ولا يذكر في وصف إزاء تتبع الضحية كما هو مبين في الصورة ادناه، فإنه لا يذكر انها سترسل معلومات الموقع لطرف ثالث"، يشير شركة Zscaler خارج .
وصف رديء
تعمل في الخلفية
كما ورد في تعليقات المستخدمين فور بدئها، التطبيق إنهاء مع الرسالة "لسوء الحظ، توقف خدمة التحديث". هذا لا يعني توقف التطبيق يعمل، فقط أنه يخفي نفسه من الشاشة الرئيسية. بدلا من ذلك، التجسس يضع خدمة والبث استقبال الروبوت، جلب آخر مكان معروف من المستخدمين والمسح الضوئي للأي رسائل SMS واردة.
"تم تصميم هذه القطعة من التعليمات البرمجية للبحث عن رسائل SMS واردة مع تركيب معين، التي ينبغي أن تكون الرسالة أكثر من 23 حرفا، ويجب أن تحتوي على" vova- "في الجسم SMS. كما يمسح على رسالة تحتوي على" الحصول على التعليمات . "وبمجرد تثبيت برامج التجسس على جهاز الضحية، يمكن للمهاجم إرسال رسالة SMS" الحصول على التعليمات "وهذه التجسس يستجيب مع مجموعة من الأوامر"، يشير الباحثون إلى.
تجنبت التطبيق الكشف لفترة طويلة. كان في الماضي التحديث في ديسمبر 2014، ولكن استمر الناس لتثبيته على أجهزتهم.
One thing that Android users should know about their devices is that system updates come automatically and do not require downloading and installing any other tool. This needed to be said because miliions of users looking to get the latest Android software updates fell victim to a trick on the Google Play marketplace by downloading a spyware-infested app.
According to security researchers from Zscaler, an app called "System Update" posed as a legitimate app in the Google Play Store. It claimed to provide users with access to the latest Android software updates, which is not something that a third-party app can do. The spyware made its way to the Store in 2014 and had between 1 and 5 million downloads by the time it was discovered.
In the meantime, Google has been alerted and the app has been removed. After three years, however, it quite possibly did a lot of damage. The app was used to spy on a user's exact geolocation, which could be used for a wide range of malicious reasons.
Taking a look at the app, you could find loads and loads of bad reviews with people complaining that the app wasn't working. That, alone, should have been a dead giveaway. If that didn't help, however, the users went on, saying that as soon as they tried to open the app it just said "Unfortunately, System Updates has stopped," while others said their phones started freezing and running slow. Other indications that this wasn't a proper app was the lack of screenshots attached to the app or the lack of a proper description.
"The app in this analysis portrays itself as a system update and does not mention in its description about tracking the victim. As shown in the screenshot below, it does not mention that it will send location information to a third party," Zscaler points out.
Lousy description
Working in the background
As mentioned in the user reviews, once launched, the app quits with the message "Unfortunately, Update Service has stopped." This does not mean the app stops working, just that it hides itself from the main screen. Instead, the spyware sets up an Android service and broadcast receiver, fetching last known location of the users and scanning for any incoming SMS messages.
"This piece of code is designed to look for incoming SMS messages with a particular syntax, in which the message should be more than 23 characters and should contain “vova-” in the SMS body. It also scans for a message containing “get faq.” Once the spyware has been installed on the victim’s device, an attacker can send an SMS message “get faq” and this spyware will respond with a set of commands," the researchers point out.
The app has avoided detection for a long time. Its last update was in December 2014, but people continued to install it on their devices.
ليست هناك تعليقات:
إرسال تعليق