تحلیل بدافزار

GPlayed بدافزار جدید اندروید به شکل گوگل پلی‌استور

برنامه GPlayed یک بدافزار مبتنی بر اندروید است که با عنوان برنامه Google Play آیندۀ پیچیده‌ای را برای جاسوسی از گوشی‌های اندرویدی و سرقت اطلاعات حساس آن‌ها به‌وجود آورده است.

این برنامه GPlayed دارای قابلیت‌های مختلفی است و بسیار مشابه با برنامه Google Play است که با عنوان ” Google Play” نیز نام‌گذاری شده است.

GPlayed بدافزار

یکی از قابلیت‌های بسیار قدرتمند GPlayed این است که پس از استقرار در دستگاه قربانی به مهاجم این اجازه را می‌دهد که پلاگین های مختلف را بارگیری نماید و اسکریپت‌ها را از راه دور به دستگاه تزریق کند.

GPlayed می‌توانند عملیات مخرب مانند به دست آوردن اطلاعات اعتبارهای بانکی کاربر تا مکان‌یابی دستگاه را داشته باشد.

با توجه به آینده پیچیده‌ای که بدافزار می‌تواند داشته باشد کاربران بایستی بتوانند برنامه‌های واقعی و جعلی را از هم تشخیص بدهند. همان‌طور که در شکل زیر مشاهده می‌شود بدافزار شامل قابلیت‌های مختلف برای انجام عملیات جاسوسی و سرقت اطلاعات است.

بدافزار GPlayed

روند انتشار بدافزار GPlayed

GPlayed در پلتفرم .NET و در محیط Xamarin توسعه داده‌شده است و کلاس اصلی این برنامه “eClient” نام دارد که از “Reznov.DLL” مشتق شده است. نام پکیج این بدافزار اندرویدی “verReznov.Company” است و به‌منظور کنترل کامل دستگاه، بدافزار مجوزهای متعددی را در فایل منیفیست اعلام می‌کند.

بدافزار GPlayed درخواست مجوزهای دسترسی

با توجه به گزارش Cisco Talos، GPlayed یک بدافزار کامل با توانایی‌های متنوع ازجمله بدافزارهای بانکی و بدافزارهای جاسوسی است. این بدان معنی است که GPlayed می‌توانند عملیات مخرب مانند به دست آوردن اطلاعات اعتبارهای بانکی کاربر تا مکان‌یابی دستگاه را داشته باشد.

پس از نصب موفق GPlayed بر روی دستگاه‌های اندرویدی برنامه وظایف گوناگونی را در زمان‌های مختلف انجام می‌دهد. در ۲۰ ثانیه نخست بدافزار سرور مدیریت را پینگ می‌کند و پاسخ موردنیاز را دریافت می‌نماید.

حمله دوم هر ۵ ثانیه انجام می‌گردد و در صورت غیرفعال بودن وای‌فای دستگاه سعی می‌نماید آن را روشن کند. حمله سوم هر ۱۰ ثانیه اتفاق می‌افتد و تلاش می‌گردد دستگاه را در سرور ثبت کند و قفل بیدار شدن را در سیستم تنظیم کند تا وضعیت دستگاه را کنترل نماید.

در طول این مراحل GPlayed اطلاعات دستگاه مانند مدل تلفن، IMEI، شماره تلفن و کشور را به سرور ارسال می‌کند.

بدافزار GPlayed جمع آوری اطلاعات

در شکل زیر ۲۷ کد پاسخ ارسالی توسط سرور مشاهده می‌گردد. درنهایت، این برنامه با درخواست‌های دسترسی مدیریت بر روی دستگاه و دسترسی به تنظیمات دستگاه سعی می‌نماید سطوح دسترسی خود را افزایش دهد.

مطالب مرتبط:
هک اندروید از طریق پاوربانک
گوگل: نسخه‌های جدید اندروید کمتر تحت تاثیر بدافزار قرار می‌گیرند
بدافزار جدید اندرویدی که دستگاه را به پراکسی‌های مخفی متصل می‌کند

منبع: GBHackers

GPlayed بدافزار جدید اندروید به شکل گوگل پلی‌استور
To Top