دنیای امنیت اندروید با تهدید جدیدی روبرو شده است. یک تروجان دسترسی از راه دور جدید (RAT) به نام “Cellik” شناسایی شده است که از ساختار برنامه ها در Google Play برای تولید کپی های مخرب برنامه های قانونی سوء استفاده می کند. طبق گزارش شرکت امنیتی iVerify، این بدافزار نه تنها توانایی کنترل کامل دستگاه را دارد، بلکه میتواند توسط مهاجمان در داخل اپلیکیشنهای کاملاً قانونی و شناخته شده بستهبندی و توزیع شود.
بدافزار برای هکرهای آماتور
Cellik در دسته ای نوظهور به نام “x-as-a-service” قرار می گیرد. در این مدل، مجرمان سایبری می توانند برای دسترسی به نسخه های آماده ابزارهای مخرب، از جمله دزدان اعتبار، باج افزار و کیت های فیشینگ، هزینه کنند. نکته نگران کننده در مورد Cellik این است که بدافزار “بالغ” در نظر گرفته می شود. این بدان معنی است که حتی هکرهایی با مهارت های فنی پایین نیز می توانند با حداقل تلاش از آن استفاده کنند.
هنگامی که این بدافزار به گوشی اندرویدی قربانی نفوذ می کند، مهاجم کنترل کامل دستگاه را در دست می گیرد. Cellik می تواند محتوای صفحه را مستقیماً برای هکر پخش کند و به او اجازه می دهد تلفن را از راه دور کنترل کند.
این تروجان مجهز به قابلیت کی لاگر است که تمام تایپ های کاربر را ثبت می کند. اما قابلیت های آن به اینجا ختم نمی شود. مهاجم می تواند اعلان های روی صفحه، گذرواژه های یک بار مصرف (OTP) و سیستم فایل گوشی را مشاهده کند. این دسترسی شامل داده های حساس مرورگر مانند کوکی ها و حتی نام کاربری و رمز عبور ذخیره شده است.
بر اساس تجزیه و تحلیل iVerify، یک مهاجم با استفاده از این بدافزار می تواند همه فایل ها را مشاهده، دانلود، آپلود یا حذف کند و حتی به فضاهای ذخیره سازی ابری متصل به گوشی دسترسی داشته باشد. یک هکر می تواند به وب سایت ها برود، روی پیوندها کلیک کند و فرم ها را پر کند. در حالی که قربانی هیچ گونه فعالیتی را روی صفحه نمایش خود نمی بیند.
علاوه بر این، Cellik قدرت ایجاد صفحات جعلی (همپوشانی) در برنامه های اصلی را دارد (مثلاً نمایش صفحه ورود جعلی در برنامه بانکی). همچنین دارای یک سیستم مولد خودکار است که می تواند Google Play را جستجو کند، یک برنامه قانونی را دانلود کند، کد مخرب Cellik را دور آن بپیچد و آن را دوباره بسته بندی کند تا برای قربانیان ارسال شود.
Cellik چگونه از سد “Google Play Protect” عبور می کند؟
خطر اصلی Cellik در توانایی آن برای دور زدن ویژگی های امنیتی مانند Play Protect است. اگرچه Google Play Protect می تواند برنامه های ناشناخته یا مخرب را شناسایی کند، یک تروجان پنهان شده در یک بسته نرم افزاری محبوب و شناخته شده ممکن است به راحتی از این فیلتر عبور کند.
این برنامههای آلوده معمولاً در سایتهای شخص ثالث و مکانهایی یافت میشوند که کاربران در آنها بارگذاری جانبی (در خارج از فروشگاه رسمی نصب میکنند). پس از نصب، بدافزار در پسزمینه اجرا میشود و بدون نیاز به هرگونه سوءاستفاده پیچیده و تنها با تکیه بر «مهندسی اجتماعی» و اعتماد کاربر به هکر دسترسی کامل میدهد.
کارشناسان امنیتی توصیه می کنند که برای به حداقل رساندن خطر این بدافزار، کاربران همواره با تاکتیک های مهندسی اجتماعی آشنا بوده و در انتخاب منبع دانلود اپلیکیشن ها دقت کنند. بهترین شیوه های حفاظتی عبارتند از:
- اجتناب از بارگذاری جانبی: تا حد امکان، برنامه ها را فقط از فروشگاه های رسمی (مانند Google Play) دانلود کنید.
- امضاها را بررسی کنید: در صورت مجبور به بارگذاری جانبی، هش ها و امضاهای فایل APK را به صورت دستی تأیید کنید.
- استفاده از راه حل های امنیتی: نصب نرم افزاری که توانایی شناسایی بدافزار و واکنش به آن را دارد می تواند یک لایه امنیتی اضافی ایجاد کند.
در نهایت، گزارش ها حاکی از آن است که سهولت استفاده Cellik برای هکرها، آن را به یک تهدید جدی تبدیل می کند. در عصری که هکرها میتوانند بدافزار را در اطراف یک برنامه کاملاً عادی بپیچند، اعتماد به منابع غیررسمی میتواند حسابهای بانکی، گذرواژهها و تمام اطلاعات شخصیتان را به خطر بیندازد.
