שתף קטע נבחר

צ'ק פוינט גילתה גרסה חדשה של נוזקה בעשרות אפליקציות

הנוזקה מאפשרת לעומדים מאחורי האפליקציות להניב רווחי מתרמיות פרסום, באמצעות זיוף הקלקות על מודעות

חוקרי צ'ק פוינט גילו גרסה חדשה של התוכנה הזדונית Hummingbad, שהוחבאה ביותר מ-20 אפליקציות ב-Google Play. המחקר של צ'ק פוינט העלה כי בתקופת פעילותן, נרשמו כמה מיליוני הורדת של האפליקציות הנגועות על ידי משתמשי אנדרואיד ברחבי העולם. צ'ק פוינט דיווחה על האפליקציות הנגועות ליחידת האבטחה של Google, שהסירה אותן מחנות האפליקציות. 

 

לרשימת האפליקציות:

http://blog.checkpoint.com/2017/01/23/hummingbad-returns/

 

בצ'ק פוינט אמרו כי הגרסה החדשה של התוכנה הזדונית, שכונתה על ידי חוקרי החברה HummingWhale, מכילה טכנולוגיות חדשות המאפשרות לה לייצר הונאות פרסום מתוחכמות.

 

 (צילום: גיא לוי) (צילום: גיא לוי)
(צילום: גיא לוי)

 

הנוזקה המקורית Hummingbad התגלתה על ידי צ'ק פוינט בחודש פברואר 2016. ביולי האחרון, חשפה החברה את התשתית שמאחורי הנוזקה, וכן את קבוצת Yingmob העומדת מאחוריה. התוכנה הזדונית התקינה אפליקציות פרסום למכשירי המשתמשים ללא אישורם. היא הופצה תחילה דרך חנויות אפליקציות לא רשמיות, וכך הגיעה למכשיריהם של יותר מ-10 מיליון משתמשים. הנוזקה השיגה שליטה מלאה במכשירים במטרה לייצר רווח מהונאות פרסום, ואף הגיעה לרווחים של כ-300 אלף דולרים בחודש.

 

כעת, הנוזקה הופיעה שנית –-והפעם בחנות הרשמית, Google Play. הגרסה החדשה, Hummingwhale, התגלתה באפליקציה לאחר שביצעה פעולות חשודות במכשיר בעת כיבויו. לאחר מכן גילו חוקרי צ'ק פוינט שורה של אפליקציות המבצעות פעולות דומות, כאשר המשותף לרובן הוא מבנה שם הקובץ שניתן להן על ידי המפתחים הכולל את הרצף com.XXXXXXX.camera. לדוגמה: com.bird.sky.whale.camera, com.color.rainbow.camera. כל האפליקציות הועלו בשמות מזוייפים של מפתחים סיניים.

 

כיצד פועלת תרמית הפרסום?

בצ'ק פוינט הסבירו כי תחילה, שרת הפיקוד והשליטה (C&C) של הנוזקה שולח לאפליקציה את הפרסומות המזוייפות שהיא מציגה בפני המשתמש. כאשר המשתמש מנסה לסגור אותן, מייצרת הנוזקה הקלקה מזוייפת המניבה רווח לעומדים מאחורי הנוזקה. כמו כן, הנוזקה מאפשרת לתוקפים להתקין אפליקציות מזוייפות למכונות וירטואליות מבלי לבקש אישור. בגרסה החדשה, הצליחו התוקפים לייצר את אותה הונאה מבלי להזדקק ליכולות שליטה במכשיר, על ידי שימוש במכונה הווירטואלית המריצה את האפליקציות שהותקנו.

 

מכיוון שפעילותה מוסווית בתוך אפליקציות שנראות לגיטימיות לכאורה, היא הצליחה למצוא את דרכה לחנות האפליקציות הרשמית של Google. כדי להסוותה, יצרו העומדים מאחורי גם ביקורות מזוייפות ב-Google Play, והעניקו לאפליקציות הנגועות דירוגים גבוהים והמלצות.

 

לפנייה לכתב/ת
 תגובה חדשה
הצג:
אזהרה:
פעולה זו תמחק את התגובה שהתחלת להקליד
מומלצים