يتسلل هجوم سلسلة التوريد إلى تطبيقات Android باستخدام SDK الضار

برنامج كلاود ديسك فيجيل وجد بحث الفريق 101 تطبيقًا مخترقًا مع برامج SpinOk Android الضارة الموزعة كإعلان SDK. والأمر الأكثر إثارة للقلق هو أن 43 من هذه التطبيقات لا تزال نشطة على متجر Play، وبعضها يحتوي على أكثر من 5 ملايين عملية تنزيل. وإجمالاً، نقدر أن 30 مليون مستخدم سيتأثرون بهذه المجموعة الإضافية من التطبيقات. يأتي هذا في أعقاب تقرير حديث نشرته شركة الأمن السيبراني Dr Web والذي اكتشف Android.spy.spinok ضمن سلسلة التوريد لتطبيقات متعددة، مما يعرض خصوصية المستخدم وأمنه للخطر. من خلال فهم نطاق تهديد سلسلة التوريد وتنفيذ التدابير الأمنية اللازمة، يمكن للمؤسسات حماية المعلومات الشخصية للمستخدمين والخصوصية في المشهد الديناميكي لتطبيقات الأجهزة المحمولة.

التحليل

معلومات من المدونة

عثر فريق البحث لدينا على مدونة منشور يشير إلى برنامج SpinOk Android الضار الموزع كإعلان تم اكتشاف SDK في تطبيقات متعددة، والعديد منها سابقًا على Google Play وتم تنزيلها بشكل جماعي أكثر من 400 مليون مرة. يكتشف فيروس Android.spy.spinok برامج التجسس المخفية في وحدات التسويق والتطبيقات المضمنة فيها. يقوم بجمع الملفات من أجهزة Android ونقلها إلى المهاجمين، ويمكنه أيضًا معالجة محتويات الحافظة. حدد فريق dr.web عنوان URL التالي لـ Cloudfront كأحد مؤشرات الشبكة للبرامج الضارة: https [:] //d3hdbjtb1686tn [.] الواجهة السحابية [.] net/gpsdk.html ، والذي يعد بمثابة مؤشر مهم لوجود البرامج الضارة

من خلال الاستفادة من أدوات أمان سلسلة التوريد الخاصة بتطبيقات الأجهزة المحمولة، بدأنا في فحص الموقف وشعرنا بالقلق عندما اكتشفنا أن برنامج التجسس الضار هذا، الذي يتنكر في هيئة SDK للإعلان، قد تسلل إلى العديد من التطبيقات في متجر Google Play.

اكتشاف الحزم المصابة بالبرامج الضارة بسرعة

استخدام واجهات برمجة تطبيقات Bevigil OSINT الخاصة بنا رسم خرائط من نطاق إلى تطبيق القدرات - تمكنا من تحديد التطبيقات التي تحتوي على عنوان URL الضار لـ cloudfront أو كانت تحتوي عليه سابقًا بسرعة. والمثير للدهشة أننا اكتشفنا 193 تطبيقًا إضافيًا، مما أدى إلى توسيع القائمة الأولية المكونة من 101 تطبيقًا مخترقًا مقدمة من Dr Web. من بين 193 تطبيقًا تم تحديدها، كشف تحليلنا أن 43 تطبيقًا لا تزال متاحة على متجر Google Play. يشير هذا إلى حل وسط أوسع داخل النظام البيئي لـ Play Store، مما يجعل قاعدة المستخدمين الأكبر عرضة لانتهاكات الخصوصية المحتملة وسرقة البيانات.

‍

تحليل SDK الضار

للتحقق من صحة النتائج، قمنا بفحص التطبيقات المحددة يدويًا، والتي أظهرت خصائص مماثلة كما هو موضح في تقرير الدكتور ويب. أكد تحقيقنا وجود الطريقة الخبيثة المستخدمة للحصول على عنوان خادم C&C والطرق المختلفة المستخدمة لاستخراج البيانات والملفات الشخصية.

‍

البرامج الضارة التي تحصل على خادم C&C الحالي باستخدام عنوان url الخاص بـ cloudfront:

‍

قائمة بأفضل 10 تطبيقات مصابة مباشرة استنادًا إلى عمليات التثبيت على متجر Play:

Infected App Name	Infected Package ID	Installs	Developer Name
HexaPop Link 2248	com.hexagon.blocks.colorful.resixlink	5,000,000+	simon90tk
Macaron Match	com.macaronmatch.fun.gp	1,000,000+	XM Studio
Macaron Boom	com.macaron.boommatch.gp	1,000,000+	XM Studio
Jelly Connect	com.blast.game.candy.candyblast	1,000,000+	blinggame
Tiler Master	com.tilermaster.gp	1,000,000+	Zhinuo Technology Co., Ltd.
Crazy Magic Ball	com.crazymagicball.gp	1,000,000+	XM Studio
Bitcoin Master	com.cq.merger.ww.bitmerger	1,000,000+	cqwawang
Happy 2048	com.happy2048.mergeblock	1,000,000+	Zhinuo Technology Co., Ltd.
Mega Win Slots	com.carnival.slot.treasure.slotparty	500,000+	Jia22

‍

يصبح حجم الموقف واضحًا عندما ننظر إلى قاعدة المستخدمين الجماعية لـ ما يقرب من 30 مليون فرد تأثرت بهذه التطبيقات المخترقة. بعد الفحص الدقيق لهذه التطبيقات التي يحتمل تعرضها للخطر، يصبح من الواضح أن جزءًا كبيرًا منها يقع في فئة الألعاب غير الرسمية. غالبًا ما يقوم المستخدمون بتنزيل هذه التطبيقات والتفاعل معها لفترة وجيزة ثم ينسون بعد ذلك وجودها على أجهزتهم. في ضوء ذلك، يوصى بشدة أن يستخدم المستخدمون باستمرار برامج مكافحة الفيروسات لفحص أجهزتهم بشكل دوري واكتشاف أي تهديدات محتملة كامنة في الداخل. من خلال اتخاذ تدابير استباقية لحماية أجهزتهم، يمكن للمستخدمين حماية أنفسهم من العواقب غير المقصودة لهذه التطبيقات المصابة.

قاعدة YARA للكشف

لقد أنشأنا قاعدة yara لاكتشاف هذه البرامج الضارة في تطبيقات Android

import "androguard"

rule android_spinok : malware
{
   	meta:
description = "AndroidSpinOk Spyware"
condition:
		androguard.url(/d3hdbjtb1686tn\.cloudfront\.net/)
}

التأثير والتخفيف

يشكل التوزيع الواسع للتطبيقات المخترقة التي تحتوي على Android.spy.spinok SDK تهديدات خطيرة لخصوصية المستخدم وأمانه. مع ملايين التنزيلات عبر مختلف التطبيقات، يعد النطاق المحتمل لتسلل البيانات والمراقبة غير المصرح بها واختراق المعلومات الحساسة أمرًا مهمًا.

يجب على المنظمات ضمان أمن سلسلة التوريد بجدية وتنفيذ تدابير لحماية مستخدميها من التهديدات المحتملة. يجب أن يشمل ذلك

إجراء مراجعات شاملة للكود
الحصول على حزم SDK التابعة لجهات خارجية
مراقبة تطبيقاتهم بانتظام بحثًا عن أي علامات تدل على وجود حل وسط

‍

التخفيف من مخاطر سلسلة التوريد الرقمية: نهج Svigil الاستباقي

يكشف هذا التقرير عن مشكلة واسعة النطاق للتطبيقات المصابة بالبرامج الضارة في متجر Play، بسبب استخدام SDK الضار، ويسلط الضوء على مخاطر سلسلة التوريد الرقمية الحرجة. الوقفة الاحتجاجية قادر على تحديد مثل هذه المخاطر بشكل استباقي. يكتشف استخدام حزم SDK التي يحتمل أن تكون محفوفة بالمخاطر في تطوير التطبيقات قبل أن تشكل مشكلة أمنية، مما يسمح للمؤسسات بالاستجابة بسرعة وكفاءة.

‍

بالإضافة إلى ذلك، تُجري Svigil تحليلاً شاملاً للبنية التحتية الرقمية الكاملة للمؤسسة. لا يقتصر هذا التحليل على المكونات الكبيرة مثل خدمات البائع السحابية؛ بل يمتد إلى عناصر أصغر مثل مكتبات JavaScript المستخدمة على الواجهة الأمامية لموقع الويب. تتيح هذه الرؤية الشاملة للمؤسسات فهم وإدارة سلسلة التوريد الرقمية الخاصة بها بشكل أفضل.

‍

من خلال إنشاء خريطة تفصيلية لجميع البائعين الرقميين وعمليات الدمج والتبعيات والمكونات الإضافية التي تستخدمها المؤسسة، يجعل Svigil من السهل على المؤسسات تحديد نقاط الضعف والتهديدات المحتملة في سلسلة التوريد الرقمية الخاصة بها.

‍

تضمن Svigil حماية قوية ضد تهديدات البنية التحتية، وتوفر رؤية تفصيلية حول تبعيات الطرف الثالث والمخاطر الأمنية المحتملة. يتضمن ذلك القدرة على اكتشاف التهديدات والتخفيف من حدتها من البرامج الضارة الناتجة عن حزم SDK الضارة.

‍

المراجع

https://news.drweb.com/show/?i=14705&lng=en
https://www.bleepingcomputer.com/news/security/android-apps-with-spyware-installed-421-million-times-from-google-play/

‍

الملحق

IOC - قائمة التطبيقات المصابة الحية

Infected Package ID
com.hexagon.blocks.colorful.resixlink	com.diamond.block.gp
com.macaronmatch.fun.gp	com.boommatch.hex.gp
com.macaron.boommatch.gp	com.guaniu.deserttree
com.blast.game.candy.candyblast	com.snailbig.gstarw
com.tilermaster.gp	com.tunai.instan.game
com.crazymagicball.gp	com.yqwl.sea.purecash
com.cq.merger.ww.bitmerger	com.block.bang.blockbigbang
com.happy2048.mergeblock	com.chainblock.merge2048.gp
com.carnival.slot.treasure.slotparty	com.snailbig.gstarfeelw
com.holiday2048.gp	com.ccxgame.farmblast
com.richfive.money.sea	com.bubble.connect.bitconnect
com.hotbuku.hotbuku	com.acemegame.luckyslot
com.crazyfruitcrush.gp	com.tianheruichuang.channel3
com.twpgame.funblockpuzzle	com.kitty.blast.lucky.pet.game
com.sncgame.pixelbattle	com.magicballs.games
com.cute.macaron.gp	com.bird.merge.bdrop
com.slots.lucky.win	com.acemegame.luckycashman
com.happy.aquarium.game	free.vpn.nicevpn
com.blackjack.cash.poker	com.vegas.cash.casino
vip.minigame.idledino	com.meta.chip.metachip
com.circus.coinpusher.free	com.guaniu.lightningslots
vip.minigame.RollingBubblePuzzle

‍

إخلاء المسؤولية: تستند المعلومات المقدمة بشأن عدد المستخدمين المتأثرين وكمية التطبيقات المشاركة في حملة البرامج الضارة إلى بحثنا الذي أجري اعتبارًا من 1 يونيو 2023 17:00 بتوقيت الهند القياسي. يرجى ملاحظة أن هذه الأرقام عرضة للتغيير مع إجراء المزيد من التحقيقات والاكتشافات. نحن نسعى جاهدين لتوفير معلومات دقيقة وحديثة، ولكن من الضروري الاعتراف بأن الطبيعة الديناميكية لمشهد الأمن السيبراني قد تؤثر على الإحصاءات والنتائج بمرور الوقت.

‍