یک شرکت امنیتی گزارش داد که اپلیکیشن اندرویدی با بیش از ۵۰۰ هزار دانلود در گوگل پلی شامل نوعی بدافزار میشود که به صورت مخفیانه اطلاعات مخاطبین کاربران را به یک سرور تحت کنترل هکرها در روسیه ارسال میکند و نام آنها را برای اشتراکهای گران قیمت ثبت میکند.
اپلیکیشن ذکر شده در این گزارش Color Message نام دارد و گوگل پس از گذشت چندین ساعت از ثبت این گزارش، آن را از سرورهای خود حذف کرد.
اپلیکیشن Color Message با انجامهای مانند اضافه کردن ایموجیها و مسدود کردن پیامهای ناخواسته، ویژگی پیامهای متنی گوشی را بهبود میبخشید. اما محققان موسسه امنیتی Pradeo Security گزارش کردهاند که این اپلیکیشن حاوی نوعی بدافزار به نام Joker است که میلیونها دستگاه اندروید را در گذشته تحت تاثیر خود قرار داده است.
در پست وبلاگ این شرکت آمده است:
بررسیهای ما از Color Message از طریق موتور امنیتی Pradeo نشان میدهد که این اپلیکیشن به لیست مخاطبین کاربران دسترسی داشته و آن را از طریق شبکه استخراج میکند. از طرفی دیگر، اپلیکیشن نام کاربران را به طور خودکار و بدون اطلاع در سرویسهای پولی ثبت میکند. همچنین با وجود قابلیت پنهان کردن آیکون پس از نصب، حذف اپلیکیشن سختتر میشود.
تاکنون موارد مشابهی درباره گوگل پلی گزارش شده که وجود اپلیکیشنهای مخرب را در آن نشان میدهد. در حالی که غول موتور جستجو اپلیکیشنها را برای شناسایی بدافزار اسکن میکند و به طور منظم نسبت به حذف برخی از آنها اقدام میکند، اما ظاهرا برخی اپلیکیشنها از سیستم نظارت و کنترل گوگل خارج میشوند.
Joker در دستهای از بدافزارها قرار میگیرد که به عنوان Fleeceware شناخته میشوند و با شبیهسازی کلیکها و رهگیری پیامهای متنی کاربران، آنها را به طور مخفیانه مشترک سرویسهای اشتراکی پولی میکنند. شناسایی این بدافزار به دلیل حضور بسیار کم در کدها و تکنیکهایی که توسعهدهندگان برای مخفی کردن آن استفاده میکنند، نسبتا دشوار است. با این وجود، در چند سال گذشته، این بدافزار در صدها اپلیکیشن کشف شده که میلیونها نفر آنها را دانلود کردهاند.
علاوه بر ارسال مخاطبین کاربران به سروری که ظاهرا در روسیه قرار دارد و مشترک شدن مخفیانه در سرویسها، Color Message همچنین میزان اقداماتی که میتواند روی دستگاههای کاربران انجام دهد را فاش نمیکند.