روز پنجشنبه، اکولار زو و گری گو، دو محقق شرکت ترند میکرو در پستی اینطور نوشتند: «آنچه این پرونده‌ی تروجانی را جذاب کرده، طریقه‌ی توزیع این اپ‌ها به طور گسترده است. ما در طول پژوهش عمیق و نظارت دقیقی که روی این تروجان داشتیم، توانستیم شاهد برآیند کلیِ این توزیع باشیم و در نهایت دریافتیم کاربرانِ مبتلا، از 196 کشور مختلف‌ بوده‌اند».

گستردگی این توزیع از موزابیک تا لهستان، ایران تا ویتنام، الجزیره تا تایلند، آلمان تا عراق و.... است. Flappy Birr Dog، FlashLight، HZPermis Pro Arabe، Win7imulator، Win7Launcher و Flappy Bird مشخصاً اپ‌هایی بودند که در گوگل‌پلی درگیر این ماجرا شدند... همه‌ی آن‌ها سال گذشته عرضه شدند و اکنون دیگر در این فروشگاه موجود نیستند (گوگل آن‌ها را حذف کرده است). برخی از این اپ‌ها بیش از 100 هزار بار توسط کاربران سراسر دنیا دانلود شده بودند. از حیث عملکرد و توانایی، این تروجان یک سارق اطلاعاتی است که البته در بخش فیشینگ هم تبحر بسیاری دارد.  

در مورد توانایی شماره یک آن (سرقت اطلاعات) باید گفت این تروجان، اطلاعاتی نظیر موقعیت کاربر، پیام‌های متنی، فهرست‌های کانتکت، لاگ‌های تماس و آیتم‌های کلیپ‌بورد را می‌رباید. MobSTSPY می‌تواند فایل‌های یافت‌شده روی دستگاه را ربوده و آپلود کند. ترند میکرو به‌تازگی دریافته که این تروجان برای برقراری ارتباط با سرور "فرمان و کنترل[1]" (C&C) خود از پیام‌رسان [2]FCM استفاده می‌کند. این تروجان بسته به فرمانی که دریافت می‌کند، داده ها را به طور غیرمُجازی از دستگاه‌های کامپیوتر خارج می‌کند.

تروجان MobSTSPY همچنین در همان مرحله‌ی اولیه اطلاعات مهمی از دستگاه را جمع‌آوری می‌کند. این اطلاعات شامل کشوری که در آن رجیستر شده است، نام پکیج، نام تولیدکننده‌ی دستگاه و غیره می‌شود. این اطلاعات در ادامه می‌توانند برای حملات اکسپلویت و یا مهندسی اجتماعی حسبی به کار بیایند.

دو محقق مذکور در ادامه اینطور نوشتند: «این تروجان، اطلاعات جمع‌آوری‌شده را به سرور C&C خود ارسال کرده و بدین‌ترتیب دستگاه را رجیستر می‌کند. با یک بار انجام این کار، این بدافزار منتظر می‌ماند و سپس بنا بر فرمان‌های ارسال‌شده از سرور C&C، بوسیله‌ی FCM عملیات را اجرا خواهد کرد».

این تروجان علاوه بر قابلیت‌های سرقت اطلاعات همچنین می‌تواند اطلاعات محرمانه‌ی اضافی را نیز از طریق حمله‌ی فیشینگ جمع‌آوری کند. MobSTSPY پاپ‌آپ‌های تقلبی فیسبوک و گوگل نشان می‌دهد که هر یک از کاربران درخواست اطلاعات اکانت دارند. اگر اطلاعات درخواست‌شده از سوی کاربر داده شود، پیامی تحت عنوان "لاگین ناموفق" ارسال خواهد شد که کاربران مشکوک نشوند.

پرونده‌ی تروجان MobSTSPY نشان می‌دهد به رغم رواج و سودمندی اپ‌ها، کاربران همچنان می‌بایست هنگام دانلود کردن آن‌ها روی دستگاه‌هایشان جوانب احتیاط را در نظر بگیرند. محققین در ادامه نوشتند: «محوبیت اپ‌ها نوعی محرک برای مجرمان سایبری است. آن‌ها از همین محبوبیت اپ‌ها انگیزه می‌گیرند تا کمپین‌های سرقت اطلاعات بیشتری راه بیاندازند و راهبردهای حمله‌ی بیشتری بسازند».

بدافزاری برای گوگل‌پلی

بدافزارهایی که قصدشان گوگل‌پلی است خیلی نادرند. با این حال این اولین باری نیست که بدافزاری، فیلترها و سیاست‌های گوگل‌پلی را مورد هدف قرار می‌دهد. در ماه نوامبر، اپی اندرویدی به نام Simple Call recorder از دسترس خارج شد (بعد از آنکه به مدت تقریباً یک سال برای دانلود در دسترس کاربران بود). هدف اصلی این بدافزار، مجاب کردن کاربر برای نصب یک اپ یدک بود که وانمود می‌کرد آپدیتی برای Adobe Flash Player است. همچنین اوایل سال گذشته، گوگل 22 آگهی‌افزار مخرب را که خود را به شکل اپ‌هایی قانونی درآورده بودند حذف کرد (از اپ‌های چراغ‌قوه گرفته تا ضبط‌کننده‌های تماس و بوستر سیگنال وای‌فای که سر جمع از بازار گوگل‌پلی 7.5 میلیون بار دانلود شده بودند).

گوگل در سال 2017، (به دلیل نقض خط‌مشی‌های بازار) هفتصد هزار اپ را از گوگل‌پلی بوت کرد. با این حال همه‌ی این اپ‌ها هم بدافزار نبودند- اکثر آن‌ها عامدانه از اپی محبوب کپی‌برداری نموده و در آن‌ها محتواهایی نامناسب می‌گذاشتند.

مشکل اصلی اینجاست که وقتی اپ‌های مخرب حذف می‌شوند، افرادی که از قبل آن‌ها را روی اسمارت‌فون‌های خود دارند از این موضوع مطلع نمی‌شوند؛ بنابراین، این احتمال وجود دارد که میلیون‌ها کاربر هنوز هم کلی بدافزار نصب‌شده روی دستگاه خود داشته باشند. طی تحقیقات Pradeo Lab در نوامبر 2018 نشان داده شد که 89 درصد اپ‌های مخرب که از فروشگاه‌ها برداشته شده بودند همچنان روی دستگاه‌های شخصی کاربران نصب وجود داشتند (حتی شش ماه بعد از حذف این اپ‌ها در فروشگاه‌ها). 

[1] command-and-control

[2] Firebase Cloud Messaging