کشف تروجان Android.Phantom – بدافزاری جدید که پنهان میشود
Android.Phantom؛ تروجانی که در بازیهای مود شده و اپلیکیشنهای محبوب مخفی شده است
کارشناسان آزمایشگاه امنیتی دکتر وب از کشف خانوادهای جدید از بدافزارهای اندرویدی با نام Android.Phantom خبر دادهاند. این بدافزار با سوءاستفاده از بازیهای مود شده، نسخههای غیررسمی اپلیکیشنهای محبوب و حتی فروشگاههای نرمافزاری، دستگاههای اندرویدی را آلوده میکند و از آنها برای اجرای حملات کلاهبرداری تبلیغاتی (Click Fraud) بهره میبرد.آنچه Android.Phantom را از بسیاری از بدافزارهای مشابه متمایز میکند، استفاده از فناوری یادگیری ماشین (Machine Learning) و قابلیت کنترل از راه دور برای تعامل هوشمند با تبلیغات اینترنتی است.
Android.Phantom چگونه عمل میکند؟
پس از نصب برنامه آلوده، این تروجان در پسزمینه فعال شده و بدون جلب توجه کاربر، به سرورهای فرماندهی مهاجمان متصل میشود. سپس با توجه به دستورات دریافتی، یکی از دو حالت زیر را اجرا میکند:
- اجرای خودکار کلیک روی تبلیغات
- کنترل مرورگر مخفی از راه دور توسط مهاجم
در حالت پیشرفته، این بدافزار با استفاده از TensorFlow.js، محتوای تبلیغات را تحلیل کرده و بهصورت هوشمند روی بخشهای موردنظر کلیک میکند؛ فرآیندی که کاملاً شبیه رفتار یک کاربر واقعی است.
استفاده از WebRTC برای کنترل گوشی قربانی
یکی از ویژگیهای جالب Android.Phantom استفاده از فناوری WebRTC است. این قابلیت به مهاجم اجازه میدهد بدون نیاز به نصب نرمافزار اضافی، صفحه مرورگر مخفی دستگاه را از راه دور مشاهده و کنترل کند. در این حالت مهاجم میتواند:
- روی صفحات وب کلیک کند.
- فرمها را تکمیل کند.
- صفحات را اسکرول کند.
- دادههای مختلف را وارد یا جایگذاری کند.
این روش باعث میشود فعالیت بدافزار بسیار طبیعی به نظر برسد و شناسایی آن دشوارتر شود.
بازیهای آلودهای که دکتر وب شناسایی کرده است
بررسیهای دکتر وب نشان میدهد نسخههای آلوده برخی بازیهای اندرویدی از طریق فروشگاه GetApps شیائومی منتشر شدهاند. از جمله این بازیها میتوان به موارد زیر اشاره کرد:
- Creation Magic World
- Cute Pet House
- Amazing Unicorn Party
- Sakura Dream Academy
- Theft Auto Mafia
- Open World Gangsters
نکته مهم این است که نسخه اولیه این بازیها سالم بوده اما در بهروزرسانیهای بعدی، کدهای مخرب Android.Phantom به آنها اضافه شده است.
نسخههای مود شده Spotify، Netflix و YouTube نیز آلوده هستند
بررسیهای دکتر وب نشان میدهد مهاجمان تنها به بازیها اکتفا نکردهاند.آنها نسخههای غیررسمی برنامههایی مانند:
- Spotify Premium Mod
- Netflix Mod
- YouTube Premium Mod
- Deezer Mod
را نیز به Android.Phantom آلوده کرده و از طریق وبسایتهای دانلود APK، کانالهای تلگرام و حتی سرورهای Discord منتشر کردهاند.
هدف Android.Phantom چیست؟
اگرچه فعالیت اصلی این بدافزار افزایش درآمد حاصل از تبلیغات است، اما تواناییهای آن بسیار فراتر از یک تبلیغافزار ساده است. این بدافزار میتواند:
- اطلاعات دستگاه را جمعآوری کند.
- موقعیت مکانی کاربر را ارسال کند.
- فهرست برنامههای نصبشده را استخراج کند.
- شماره تلفن دستگاه را سرقت کند.
- بدافزارهای جدید را دانلود و اجرا کند.
این موضوع نشان میدهد Android.Phantom میتواند به بستری برای حملات پیچیدهتر تبدیل شود.
چگونه از آلوده شدن جلوگیری کنیم؟
کارشناسان دکتر وب توصیه میکنند:
- از نصب نسخههای مود شده برنامهها خودداری کنید.
- فایلهای APK را فقط از منابع معتبر دریافت کنید.
- از دانلود برنامهها از کانالهای تلگرام یا وبسایتهای ناشناس پرهیز کنید.
- سیستمعامل و نرمافزارهای خود را همیشه بهروز نگه دارید.
- از یک راهکار امنیتی معتبر برای محافظت از دستگاه استفاده کنید.
محصولات اصلی دکتر وب در ایران
اگر به دنبال محافظت از گوشی، تبلت، تلویزیون هوشمند یا سایر دستگاههای اندرویدی خود هستید، میتوانید لایسنسهای اصلی محصولات Dr.Web را از طریق گروه نرم افزاری وندا، نماینده رسمی دکتر وب در ایران تهیه کنید. وندا علاوه بر ارائه لایسنسهای معتبر، خدمات مشاوره و پشتیبانی تخصصی نیز در اختیار کاربران خانگی و سازمانی قرار میدهد.
جمعبندی
کشف Android.Phantom نشان میدهد مجرمان سایبری از فناوریهای نوینی مانند هوش مصنوعی، یادگیری ماشین و WebRTC برای توسعه بدافزارهای اندرویدی استفاده میکنند. انتشار این بدافزار در قالب بازیهای محبوب و نسخههای مود شده اپلیکیشنهای پرطرفدار، اهمیت دانلود نرمافزار از منابع معتبر و استفاده از راهکارهای امنیتی بهروز را بیش از پیش آشکار میکند.


