اپلیکیشن ‌های جعلی در Google Play و نقش ESET در کشف آنها

قبل از اقدام به خرید بیت‌کوین و وارد شدن به شبکه‌ی ارزهای رمزنگاری شده، به ویژه در مورد کیف پول دیجیتالی و امنیت آن تحقیق کرده و اطلاعات کافی کسب کنید.

بیت‌کوین اولین پول دیجیتالی یا ارز رمزنگاری شده‌ی کاملاً غیرمتمرکز دیجیتالی است که خصوصیات مهم پول نقد را داشته و در دنیای مجازی قابل تبادل است. ایده اولیه ارز دیجیتالی بیت‌کوین توسط یک برنامه‌نویس ظاهراً ژاپنی به نام ساتوشی ناکاموتو به منظور تولید پول، مستقل از هر نوع مرکز دولتی و قابل تبادل به صورت مجازی، با سرعت انتقال بالا و هزینه‌ی انتقال اندک ارائه شد. این شخص (یا احتمالاً گروه) از ابتدا تمایلی به معرفی خود نداشت و تا امروز هویت اصلی و مکان استقرارش معلوم نیست.

البته بیت‌کوین تنها ارز دیجیتال موجود در جهان به شمار نمی‌رود و ارزهای دیگری همچون بیت‌کوین کش، اتریوم، ای‌دش، لایت‌کوین، ریپل و موارد دیگری نیز تاکنون منتشر شده‌اند. تفاوت عمده‌ی بیت‌کوین با ارزهای رایج فعلی، ویژگی غیرمتمرکز بودن آن است. تراکنش‌های مالی در این شبکه‌های غیر متمرکز، بین دو طرف معامله به شکل P2P و بدون نیاز به واسطه انجام می‌شوند، یعنی برای انجام تراکنش‌ها نیازی به نهاد‌های متمرکز همچون بانک‌ها یا سایر نهادهای مشابه وجود ندارد. از دیگر مزایای عمده‌ی بیت‌کوین این است که وابسته به نظام کنترل پولی و نوسانات اقتصادی نبوده و صاحبان بیت‌کوین در نوسانات اقتصادی مختلف سرمایه‌ی خود را از دست نمی‌دهند. در حوزه‌ی پولی با مشکلات ساختاری از قبیل ارز بدون پشتوانه مواجه هستیم، اما در بیت‌کوین اینگونه نیست و طبق پروتکل خاصی یک شبکه‌ی زنجیره‌ای از آن حمایت می‌کند.

درک بیشتر ویژگی غیر‌متمرکز بودن

برای درک بیشتر ویژگی غیر‌متمرکز بودن و مزایای آن در نظر داشته باشید که در سیستم‌های متمرکز، شرکت‌ها و سازمان‌های واسطه به تمام اطلاعات شما دسترسی داشته و به راحتی آن را کنترل می‌کنند. هنگامی که شما ایمیلی را به گیرنده‌ی مورد نظر خود ارسال می‌کنید، در واقع این پیام را برای پایگاه‌های داده این سرویس ارسال می‌کنید و در مرحله‌ی بعدی این پیام به سمت گیرنده‌ی شما ارسال می‌شود؛ یعنی این پیام به راحتی توسط سرویس دهنده‌ی پست الکترونیکی شما قابل مشاهده و کنترل است، اما بیت‌کوین روی یک پایگاه داده‌ی غیرمتمرکز به نام بلاک‌چین فعالیت می‌کند و نیازی به وجود چنین واسطه‌ای ندارد.

بلاک‌چین اساساً یک پایگاه داده توزیع شده از اسناد و یا دفتر کل عمومی از تمام تراکنش‌های دیجیتالی است که به وسیله‌ی اجزاء تشکیل دهنده‌ی خود به صورت مشترک اجرا و مورد استفاده قرار می‌گیرد. فناوری بلاک‌چین به گونه‌ای طراحی شده تا اطلاعاتی که یک بار وارد سیستم می‌شوند، هرگز پاک نشده و همواره در این زنجیره باقی بمانند. بلاک‌چین برای هر تراکنش به طور مجزا اطلاعاتی معین و قابل بازبینی ثبت می‌کند و عملاً ناظران متعددی در شبکه وجود داشته (تمامی کاربران شبکه) و امکان سرقت یا کلاه‌برداری در حالت عادی بسیار کاهش می‌یابد.

به عبارت دیگر در پایگاه‌های داده بلاک‌چین، داده‌ها بین تعداد بسیار زیادی از کامپیوترهای مختلف توزیع شده و هیچ فردی قادر به کنترل آنها نیست. اگر کسی در صدد هک و کنترل بلاک‌چین باشد، باید بیش از ۵۱% از کامپیوتر‌های شبکه را هک کند که با سیستم‌های رمز پیچیده‌ای حفاظت می‌شوند. یعنی این کار بسیار دشوار و عملاً غیرممکن است. به این ترتیب اگر از یک سیستم غیرمتمرکز مانند بلاک‌چین برای ایمیل شما استفاده شود، هیچ کسی به غیر از شما قادر به تغییر محتوا یا حذف پیام ارسال شده نخواهد بود و این یک مزیت عمده به شمار می‌رود.

سرعت گسترش بیت‌کوین در سطح جهان

به واسطه‌ی همین مزیت، بیت‌کوین به سرعت در سطح جهان مورد استقبال قرار گرفت. در حال حاضر برخی از فروشگاه‌ها و شرکت‌های بزرگ، قابلیت خرید با آن را برای مشتریان خود فراهم کرده و روز به روز نیز بر تعداد آنها افزوده می‌شود. جالب است که بسیاری از دولت‌ها هنوز هم نمی‌دانند که باید چه تصمیمی در مورد استفاده از بیت‌کوین بگیرند.

به هر صورت در ادامه باید توجه داشت که فناوری بلاک‌چین برای هر نوع مبادله‌ی ارزهای دیجیتالی آنلاین قابل استفاده بوده و محدود به بیت‌کوین نیست. همانطور که در بستر اینترنت، انواع کاربردهای مختلف وجود دارد و پخش فیلم بر روی آن تنها یکی از قابلیت‌های آن است، بیت‌کوین نیز یکی از سیستم‌هایی است که بر روی بلاک‌چین عمل می‌کند.

بیت‌کوین به جای استفاده از طرف سوم مورد اعتماد در تراکنش‌های آنلاین از امضاء دیجیتال استفاده می‌کند و تراکنش‌ها را ابتدا با کلید خصوصی فرستنده امضاء کرده، سپس با کلید عمومی گیرنده رمز کرده و ارسال می‌کند. به این ترتیب برای انجام معامله (بدون حضور هیچ واسطه‌ای)، با استفاده از کلید عمومی فرستنده ثابت می‌شود که وی، مالکیت کلید خصوصی را در اختیار داشته و در عین حفظ ویژگی ناشناسی، اعتبار او برای انجام معامله محرز می‌گردد. در نهایت این تراکنش برای تمامی گره‌های شبکه بیت‌کوین منتشر شده و در دفتر کل عمومی ثبت می‌شود.

در اینجا مسئله حفظ ترتیب تراکنش‌های منتشر شده به سایر گره‌ها در شبکه‌های P2P بیت کوین، مطرح می‌شود و مکانیسمی باید در نظر گرفته شود تا هیچ فردی نتواند یک تراکنش را مجدداً انجام دهد (یعنی پولی که قبلاً خرج کرده را دوباره خرج کند). این مکانیسم همان سیستم بلاک‌چین است که در آن تراکنش‌ها در گروهی از زنجیره‌های بلوکی قرار گرفته و اتصال این زنجیره‌های بلوکی به یکدیگر، تراکنش‌ها را مرتب و قابل بازبینی خواهند کرد. بدین منظور هر بلوک، خروجی تابع چکیده‌ساز بلوک ماقبل خود را ذخیره می‌کند.

در شبکه‌ی گسترده‌ی بلاک‌چین تعداد بسیار زیادی گره با توان محاسباتی بالا تشکیل شده و هر کاربری که بخواهد تراکنشی انجام دهد، ابتدا باید درخواست خود را در شبکه صادر کند تا سایر گره‌ها، دو اقدام اساسی زیر را انجام دهند.

  • بررسی اعتبار تراکنش (کافی بودن موجودی فرد درخواست دهنده).
  • حل یک سری معادلات پیچیده‌ی ریاضی بر اساس الگوریتم بلاک‌چین که برای ثبت تراکنش در دفاتر دیجیتال، مورد نیاز هستند.

اولین گره‌ای که بتواند این دو اقدام را به طور کامل انجام دهد، تراکنش مذکور را به دفتر دیجیتالی اضافه می‌کند. این گره در پایان کار خود مبلغی به عنوان جایزه دریافت کرده (این جایزه از جنس همان ارز دیجیتالی است) و آنرا برای اطلاع سایر گره‌ها به منظور به روز رسانی دفاتر دیگر اعلام می‌کند. به این ترتیب گره‌های دیگر، کار روی این تراکنش را متوقف کرده و پس از به روز رسانی دفاتر دیجیتال به دنبال تراکنش بعدی می‌گردند.

مجموعه‌ی تراکنش‌های انجام شده درون شبکه، در هر ده دقیقه در قالب یک بلوک اطلاعاتی قرار گرفته و به بلوک قبلی پیوند می‌خورد. بنابراین اگر مهاجمی قصد تغییر رکوردی را داشته باشد، باید بتواند این زنجیره را هک کرده و به همه‌ی تراکنش‌های انجام شده روی میلیون‌ها کامپیوتر به صورت همزمان دسترسی داشته باشد که امری تقریباً محال است. بنابراین مهاجمین به دنبال راه‌های دیگری برای نفوذ به این شبکه و سرقت ارزهای رمزنگاری شده هستند که در ادامه به آنها اشاره می‌کنیم.

پولونیکس یکی از صرافی‌های بزرگ است که به مبادله‌ی بیش از 100 ارز دیجیتالی در سطح جهان می‌پردازد. به همین دلیل بسیار محبوب شد و تبدیل به یک هدف مناسب برای کلاه‌برداران گشت. محبوبیت اولیه‌ی آن علاوه بر جامع بودن، به دلیل سرعت و امنیت در انجام تراکنش‌ها بود، اما از آنجایی که مراحل تأیید هویت آن زیاد بود، برای همگان مناسب و قابل استفاده نبود؛ از طرفی به دلیل ارائه‌ی دو اپلیکیشن جعلی برای موبایل توسط کلاه‌برداران در گوگل پلی، دچار مشکلاتی شده و از محبوبیت آن کاسته شد. این اپ‌های جعلی علاوه بر سرقت اطلاعات ورود کاربران به پولونیکس، قربانی را فریب داده و حساب کاربری Gmail او را در دسترس مهاجمان قرار می‌دهند.

بدیهی است که با توجه به محبوبیت رو به رشد ارزهای رمزنگاری شده، کلاه‌برداران نیز از هر فرصتی با استفاده از وب‌سایت‌های فیشینگ و برنامه‌های جعلی برای سرقت این ارزها از حساب کاربران یا حتی توان محاسباتی آنها برای استخراج ارز استفاده خواهند کرد. تنها راه مقابله با این امر بالا بردن سطح آگاهی کاربران و استفاده از راه حل‌های جامع امنیتی، مشابه با راه حل‌های شرکت ESET است. جالب اینجاست که این مشکل را نیز آنتی ویروس نود 32 ESET شخیص داد و به شرکت گوگل اعلام کرد تا این اپ‌های جعلی را از فروشگاه خود حذف کند. پیشنهاد می شود مقاله

اپلیکیشن‌های مخرب

اولین اپ مخرب به نام “POLONIEX”، به جای نام اصلی “Poloniex” در Google Play  منتشر و در فاصله‌ی 28 آگوست تا 19 سپتامبر 2017 با وجود اعلام نظرات بد و رتبه بندی نامناسب، توسط 5000 کاربر نصب شده بود. اپ دوم نیز با نام “POLONIEX EXCHANGE” به جای نام اصلی “POLONIEX COMPANY”، در تاریخ 15 اکتبر 2017 در  Google Play ظاهر شد و قبل از حذف شدن از فروشگاه پس از اخطار ESET  به Google Play، توسط 500 کاربر نصب شده بود. علاوه بر اخطار به گوگل، ESET  صرافی Poloniex را نیز در جریان این برنامه‌های مخرب قرار داد.

شکل 1: برنامه‌های جعلی که در  Google Play کشف شدند

شکل 2: رتبه‌بندی و آمار نظرات کاربران برای یکی از اپ‌های جعلی در Google Play

 

طرز کار این اپ‌های جعلی برای سرقت بیت‌کوین

مهاجمین برای در اختیار گرفتن یک حساب کاربری پولونیکس با استفاده از یکی از این برنامه‌های مخرب، ابتدا باید اطلاعات ورود قربانی را به دست آورند. پس از آن نیز باید برای کنترل اعلان‌های مربوط به معاملات و ورود و خروج غیر مجاز به حساب ایمیل مرتبط با حساب پولونیکس مورد نظر دسترسی پیدا کنند. در نهایت، مهاجمان باید روند عملکرد برنامه‌ی خود را برای جلوگیری یا کاهش هر گونه سوء ظن نسبت به آن، درست و کارآمد جلوه دهند. هر دو برنامه‌ی مذکور از همین روش برای رسیدن به هدف خود استفاده می‌کنند.

سرقت اطلاعات ورود کاربران درست زمانی رخ می‌دهد که کاربر یکی از برنامه‌ها را نصب می‌کند؛ یعنی برنامه‌ی مخرب یک صفحه‌ی جعلی درخواست اطلاعات ورود به سیستم پولونیکس را برای قربانی نمایش می‌دهد (شکل 3). اگر کاربر قربانی، اطلاعات ورود خود را ثبت و بر روی “sign in” کلیک کند، این اطلاعات برای مهاجمان ارسال می‌شود.

پروتکل احراز هویت دو طرفه

در صورتی که کاربر، پروتکل احراز هویت دو طرفه را در حساب پولونیکس خود فعال نکرده باشد، مهاجمان به راحتی به حساب او دسترسی خواهند داشت؛ یعنی آنها می‌توانند از طرف این کاربر هر معامله‌ای را انجام داده و تنظیمات وی را تغییر داده یا حتی با تغییر گذر واژه، جلوی ورود کاربر مذکور را به این حساب بگیرند.

در اینجا ارزش پروتکل‌های احراز هویت دو طرفه به خوبی مشخص می‌شود، زیرا در صورتی که کاربر قربانی آن را فعال کرده باشد، از این حمله در امان خواهد بود. پولونیکس این امکان را به واسطه‌ی  Google Authenticator به کاربران خود ارائه می‌دهد و توسط آن کدهای ورود تصادفی، تولید و به صورت متن یا تماس صوتی برای کاربر ارسال می‌شود. این کدها دیگر در دسترس مهاجمان قرار نمی‌گیرد و بدین ترتیب در حمله‌ی خود ناموفق خواهند ماند.

شکل 3: فرم ورود جعلی برای به دست آوردن اطلاعات شخصی کاربران پولونیکس

اگر کلاهبرداران در این مرحله موفق شوند، در مرحله‌ی بعدی سعی می‌کنند تا وارد حساب Gmail کاربر قربانی ‌شوند. برای این کار از طرف گوگل یک درخواست ورود به حساب گوگل را تحت عنوان بررسی امنیتی دو مرحله‌ای (شکل 4) برای کاربر به نمایش در می‌آورند. پس از اینکه کاربر روی “sign in” کلیک کند، برنامه مخرب یک درخواست مجوز برای مشاهده‌‌ی پیام‌های ایمیل، تنظیمات کاربر و اطلاعات پروفایل را نمایش می‌دهد (شکل5). اگر کاربر این مجوز را اعطا کند، برنامه‌ی مخرب مذکور به صندوق ورودی وی دسترسی خواهد داشت. با دسترسی به حساب کاربری پولونیکس کاربر و همچنین حساب کاربری  Gmail، مهاجمان می‌توانند معاملات مورد نظر خود را انجام داده و تمام اعلان‌های مربوط به معاملات یا ورودهای غیرمجاز را از صندوق ورودی قربانی پاک کنند.

شکل 4: جعل هویت گوگل توسط مهاجمین به منظور فریب کاربر برای ورود به حساب  Gmail خود

شکل 5: فریب کاربر و درخواست دسترسی به ایمیل‌های وی توسط برنامه مخرب

در نهایت، به منظور طبیعی جلوه دادن روند امور، برنامه‌ی مخرب، کاربر را به نسخه‌ی موبایل وب سایت اصلی پولونیکس هدایت می‌کند تا از وی برای ورود به سیستم درخواست شود (شکل 6). پس از ورود به سیستم، کاربر می‌تواند از وب سایت قانونی پولونیکس استفاده کند و سوء ظنی برای وی ایجاد نمی‌شود. از این پس، برنامه‌ی مخرب که به هدف خود رسیده است، هر بار که راه اندازی می‌شود، تنها وب سایت قانونی را باز می‌کند.

شکل 6: نسخه موبایل وب سایت قانونی پولونیکس که توسط برنامه‌ی مخرب باز شده است

 

چگونه باید از خودتان و بیت‌کوین خود محافظت کنید؟

اگر شما یکی از کاربران پولونیکس هستید و یکی از این برنامه‌های مخرب را در دستگاه خود نصب کرده‌اید، بدیهی است که ابتدا باید آن را حذف کنید. حتماً کلمات عبور خود را هم در پولونیکس و هم در Gmail تغییر داده و امکان احراز هویت دو طرفه را برای هر دو سرویس فعال کنید.

همچنین به نکات زیر برای مراقبت بیشتر در آینده و جلوگیری از کلاهبرداران توجه داشته باشید:

  • اطمینان حاصل کنید که سرویس مورد استفاده‌ی شما واقعاً یک اپلیکیشن تلفن همراه قانونی ارائه کرده است و کسی به جای او یک برنامه‌ی جعلی روانه‌ی بازار نکرده باشد. برای اینکه از این امر مطمئن شوید باید توجه داشته باشید که برنامه‌ی مورد نظر، حتماً باید به وب سایت رسمی سرویس شما لینک باشد.
  • همیشه هنگام دانلود یک برنامه، به رتبه بندی آن و نظرات دیگران توجه داشته باشید.
  • همیشه مراقب پنجره‌هایی باشید که به عنوان شخص ثالث از طرف گوگل باز می‌شوند. این کار یک ترفند بسیار رایج در بین مجرمان سایبری است که به واسطه‌ی اعتماد کاربران به گوگل از آن بهره می‌برند.
  • توصیه می‌کنیم که همواره امکان احراز هویت دو طرفه را به عنوان یک لایه‌ی امنیتی اضافی در سرویس‌های خود فعال کنید و بدین طریق جلوی سوء استفاده‌ی بسیاری از برنامه‌های مخرب را بگیرید.
  • در نهایت، مهمترین توصیه این است که از یک راه حل امنیتی قابل اعتماد برای تلفن همراه خود استفاده کنید؛ همانطور که در جدول زیر مشاهده می‌شود، محصولات ESET، این سارقان را از اوایل فعالیتشان و قبل از تمام محصولات مشابه و حتی قبل از خود گوگل با عنوان Android/FakeApp.GV شناسایی کرده و جلوی کلاه‌برداری‌های عظیمی که می‌توانست از این طریق صورت گیرد را گرفت.
. . . .

IoCs

Hash

Package Name

89BE9AF09BB3B2CAD9EAF88FE0EF175E5F150044 com.poloniex.exchange
 

com.poloniexap.poloniex

 

 

 

 

 تبليغات در ياد بگير دات كام | سفارش تبليغ | آگهي ها