بدافزار Judy بیش از 36 میلیون دستگاه اندرویدی را آلوده کرده است!

اخیرا محققان به یک مورد مخرب، بدافزار Judy دست پیدا کرده‌اند که از طریق اپلیکیشن‌ها به سیستم کاربر نفوذ کرده و به کسب درآمد برای هکر می‌انجامد.

هفته گذشته، محققان Check Point یک بدافزار به نام “Judy” را پیدا کرده‌اند که ظاهرا بیش از 36 میلیون دستگاه اندرویدی را آلوده کرده است. ابزار کلید خودکار تعداد زیادی از کلیک های جعلی در تبلیغات را ایجاد می‌کند که باعث می‌شود هکرها از این عملیات پول‌های کلانی را به جیب بزنند. این بدافزار از طریق 41 اپلیکیشن که توسط یک شرکت کره‌ای توسعه داده شده منتشر گردیده و به سرعت بین 4.5 الی 18.5 میلیون بار دانلود شده است.

بدافزار Judy ، پلی برای کسب درآمد نامشروع هکرها

نکته جالب این است که بسیاری از این برنامه ها سال‌ها بود که در پلی استور گوگل موجود بودند، اما تمامی آنها اخیرا به روزرسانی شده بودند. گروه Check Point همچنین چندین اپلیکیشن را کشف کرده است که توسط توسعه دهندگان دیگری نوشته شده‌اند، اما همچنان به بدافزار Judy آلوده شده‌اند. مشخص نیست آیا ارتباطی بین این توسعه دهندگان وجود دارد یا آنکه بدافزار جودی به طور تصادفی یا آگاهانه بین برنامه های مختلف پخش شده باشد!

همانطور که گفته شد، برنامه های حاوی بدافزار Judy توسط یک شرکت کره‌ای توسعه یافته‌اند. این شرکت Kiniwini نام دارد که از نام ENISTUDIO برای معرفی خود در گوگل پلی استفاده می‌کند. در همین راستا خود گوگل اخیرا برنامه های مخرب را از فروشگاه اپلیکیشن های خود حذف کرده است. تمامی برنامه های توسعه پیدا کرده توسط این تیم حاوی عبارت Judy در عنوان خود هستند.

گروه امنیتی Check Point در این مورد می‌گوید:

هکرها برای دور زدن بخش امنیتی گوگل پلی یک برنامه به ظاهر جذاب را طراحی کرده‌اند، اما به لطف این برنامه هکرها به دستگاه قربانی اتصال پیدا کرده و آن را وارد اپ استور می‌کنند. هنگامی که یک کاربر یک برنامه مخرب را دانلود می‌کند، خیلی بی سر و صدا دریافت کننده ها را به ثبت می‌رساند که به ایجاد یک ارتباط با سرور C&C می‌انجامد. سرور با یک تخریبگر واقعی که شامل کدهای جاوا اسکریپت، یک رشته عامل کاربر و آدرسی مشخص توسط نویسنده بدافزار است کنتلر می‌شود. این بدافزار آدرس های اینترنتی را با استفاده از عامل کاربری که همانند مرورگرهای کامپیوتری در یک صفحه وب پنهان هستند عمل کرده و با تغییر مسیر به یک وب سایت دیگر می‌روند.

هنگامی که وب سایت هدف راه اندازی شد، بدافزار Judy با استفاده از کدهای جاوا اسکریپت بر روی آگهی هایی که مبتنی بر زیرساخت‌های تبلیغات گوگل هستند کلیک می‌کنند. پس از هر کلیک، نویسنده بدافزار مبلغی را به ازای این کلیک و ترافیک نامشروع از توسعه دهنده دریافت می‌کند.

اگر شما هم از یکی از اپلیکیشن های جودی بر روی گوشی یا تبلت خود استفاده می‌کنید، همین حالا آن‌ها را پاک کنید.