بدافزار Ads Blocker با ادعای مسدودسازی تبلیغات، کاربران اندروید را بمباران تبلیغاتی میکند
بدافزار Ads Blocker (با Ad Blocker اشتباه نشود) با پنهانشدن در حافظهی گوشی، به نمایش تبلیغات میپردازد.
یک نرمافزار مسدودکنندهی تبلیغات که در خارج از فروشگاه نرمافزاری گوگلپلی در دسترس است، کاربران اندروید را با حجم وسیعی از تبلیغات که بسیاری از آنها مبتذل هستند غافلگیر کرده است. از آنجایی که نرمافزار مذکور بهگونهای هوشمندانه از دید کاربر مخفی میشود، حذف آن دشوار بوده و اوضاع را برای کاربر سختتر میکند.
براساس سندی که شرکت تولیدکنندهی محصولات ضد بدافزار، Malwarebytes منتشر کرده است، نرمافزار یادشده که «Ads Blocker» نامیده میشود (با Ad Blocker اشتباه نشود)، از ترفندهای متعددی استفاده میکند تا بهصورت ناخواسته و مرتباً کاربران را با تبلیغات بمباران کند. اولین درخواستی که کاربران هنگام نصب این بدافزار با آن مواجه میشوند، مجوز نمایش در سایر نرمافزارها است. در مرحلهی بعد، Ads Blocker اتصالی از نوع VPN ایجاد کرده و ترافیک شبکه را رصد میکند. در نهایت این بدافزار با درخواست مجوزی از کاربران، ویجتی را در صفحهی اصلی گوشی هوشمند اضافه میکند.
در حقیقت تأیید اتصال VPN توسط کاربر که استانداردی الزامی در بسیاری از برنامههای قانونی مسدودکنندهی تبلیغات است، به بدافزار مذکور اجازه میدهد تا بهصورت مداوم در پسزمینه در حال اجرا باشد. چنین موردی همراهبا مجوز نمایش در سایر برنامهها، به Ads Blocker کمک میکند تا با شیوههای آزاردهنده و بدون اجازهی کاربر، تبلیغات را نمایش دهد. تبلیغاتی که این بدافزار نشان میدهد، تمامصفحه هستند. برنامهی مذکور تبلیغات را نهتنها در مرورگر پیشفرض، بلکه در صفحهی اعلانات نیز نمایش میدهد. دست آخر در ویجتی که پیشتر نصب شده نیز همین منوال ادامه دارد. نِیتان کولیِر، محقق سازمان Malwarebytes در سند مذکور بیان کرده:
بدافزار اندرویدی [Ads Blocker] از لحاظ بسامد و تناوبات و قابلیتهای تبلیغاتی، عملکرد بیرحمانهای دارد. واقعیت این است که هنگام نوشتن این متن، این [بدافزار] با تناوب یک آگهی در هر چند دقیقه، چندین آگهی را در دستگاه آزمایش من نشان داده است.
کولیر در ادامه نوشته است که محتوای آگهیهای نمایش دادهشده گسترهی بزرگی را شامل شده و برخی از آنها ناخوشایند و در برخی موارد حتی مبتذل هستند. همان قدر که این مسدودکنندهی جعلیِ آگهی آزاردهنده است، به همان میزان نیز حذف کردنش کار دشواری است. بهگونهای حتی هیچ آیکونی مربوط به بدافزار مذکور در صفحهی گوشی ایجاد نمیشود. در بخش مربوط به اطلاعات برنامهها در تنظیمات اندروید (App info) نیز هیچ اشارهای به Ads Blocker نشده است. زیرا برنامهی مذکور با کاردی سفید نام اصلی خود را میپوشاند. پنهانکاری بدافزار باعث میشود تا افراد بسیاری مداوما در تلاش برای حذف آن باشند. Ads Blocker آیکون دیگری را با همان کادر سفید را در صفحهی اعلانات نمایش میدهد که با فشردن آن، کادری محاورهای ایجاد شده و تلاش میکند تا برنامههای تبلیغاتی بیشتری را نصب کند.
کولیر سپس با جستوجوی یک ورودی در تنظیمات App info که با حجم ۶٫۵۷ مگابایت ذخیره شدهبود، اقدام به حذف آن کرد. کاربران نیز میتوانند به همین روش بدافزار یادشده را حذف کنند. البته چنین متدی در نسخهی ۱۰ از سیستمعامل اندروید، به دلیل عدم نمایش حجم برنامهها در تنظیمات App info چندان کارایی ندارد. روش جایگزین دیگر نیز در این موردِ بهخصوص دسترسی به فضای ذخیرهسازی در تنظیمات اندروید و انتخاب تب برنامهها (Apps) است. با اینکه براساس آنچه که پیشتر گفتهشد، نام و آیکون نرمافزار نمایش داده نمیشود، اما براساس حجم ۶٫۵۷ مگابایتی بدافزار، میتوان آن را تشخیص داد. در این حالت کاربران با فشردن قسمت مربوط به ورودی ۶٫۵۷ مگابایتی و واردشدن به بخش مربوطه، باید به سرعت آیکونهای پاک کردن حافظهی کش (clear cache) و پاک کردن حافظه (clear storage) را فشار داده و سپس اقدام به لغو نصب برنامه کنند. افراد میتوانند با برنامهی رایگان Malwarebytes برای اندروید نیز، بدافزار را حذف کنند.
حذف بدافزار اندروید
محققان شرکت Malwarebytes هنوز نمیدانند که بدافزار Ads Blocker چگونه توزیع شده است. دادههای سرویس اسکن VirusTotal در شرکت تحقیقاتی مذکور نشان میدهد دلیل گسترش این بدافزار در ایالات متحده، به احتمال زیاد استفاده از فروشگاه نرمافزاری ثالث توسط افراد است. پستی که در یک تالار گفتوگوی اینترنتی در اروپا و به زبان آلمانی نگاشته شده، شواهدی را ارائه میدهد که نشاندهندهی احتمال گسترش بدافزار Ads Blocker در اروپا است.
اپلیکیشن Malwarebytes تاکنون از بین ۱۸۰۰ نمونه، تنها ۵۰۰ مورد آلوده به بدافزار یادشده را پیدا کرده است. محققان این شرکت گمان میکنند تعداد کلی دستگاههای آلوده، به مراتب بیشتر از این ارقام باشد.