شناسایی باتنت DDoS در برنامه محبوب اندروید Swing VPN
اخبار داغ فناوری اطلاعات و امنیت شبکه
برنامه Swing VPN در دستگاههای Android و iOS در دسترس است. اما تا این لحظه، نسخه اندروید توسط محققان بهعنوان یک باتنت DDoS شناسایی شده است.
اپلیکیشن Swing VPN که در فروشگاه رسمی گوگل پلی با نام Swing VPN - Fast VPN Proxy موجود است، بیش از ۵ میلیون بار و بخصوص توسط کاربران ایرانی دانلود شده است.
نرمافزار Swing VPN یک برنامه VPN قانونی است که توسط Limestone Software Solutions برای سیستمهای اندروید و iOS توسعهیافته است. بااینحال، به گفته محقق سایبری، لکرومی، نسخه اندروید این برنامه یک باتنت DDoS است و گفته میشود که دارای هدف مخربی است زیرا میتواند حملات Distributed Denial-of-Service (حملات DDoS) را انجام دهد.
همهچیز از آنجا شروع شد که دوست لکرومی به او از مشاهده یک الگوی درخواست غیرعادی در تلفن همراهش اطلاع داد. این تلفن به طور مداوم هر ١٠ ثانیه یک بار درخواستها را به یک وبسایت خاص ارسال میکرد. ظاهرا این برنامه از تاکتیکهای مختلفی برای پنهان کردن اقدامات مخرب خود استفاده کرده است تا کاربر، حمله را شناسایی نکند.
در ابتدا، لکرومی مقصر این مشکل را بدافزار یا یک ویروس دانست. بااینحال، بررسیهای بیشتر نشان داد که همه درخواستها از برنامه Swing VPN که دوستش روی گوشی خود نصب کرده بود، ارسال شده است. درخواستها به همان سایتی فرستاده شد که دوست لکرومی هرگز به آن دسترسی نداشته یا از آن بازدید نکرده بود، که این محقق را به برنامه مشکوک کرد.
برای بررسی بیشتر، لکرومی برنامه Pcapdroid را نصب کرد تا ارتباط گزارش ترمینال خود را بررسی کند و عملیات Swing VPN را بررسی کند. در این مرحله، وی مطمئن نبود که آیا برنامه Swing حاوی یک برنامه مخرب است یا خیر. او مشاهده کرد که برنامه Swing VPN برخی از درخواستها را به یک سایت ارسال کرد.
برای تعیین هدف واقعی برنامه، او از mitmproxy برای گرفتن دادههای ارسالی استفاده کرد. وی تشخیص داد که اپلیکیشن آدرس IP واقعی را بلافاصله پس از نصب، انتخاب زبان و پذیرش خطمشی رازداری مشخص میکند. سپس درخواستی را با عبارت «IP من چیست؟» به بینگ و گوگل ارسال میکند. وی همچنین متوجه شد که برنامه HTML بازگشتی را تجزیه میکند و IPها را از پاسخها و عمدتا برای یافتن فایلهای پیکربندی برای آپلود، تمیز میدهد.
برنامه پس از شناسایی نوع پیکربندی مورد نیاز خود، درخواستهایی را به دو فایل پیکربندی مختلف ذخیره شده در حساب شخصی Google Drive توسعهدهنده ارسال میکند. این فایلها از سرورهای شخصی خاص، چندین مخزن GitHub یا حسابهای Google Drive درخواست میشوند. این برنامه فرآیند اولیهسازی خود را با اتصال به یک شبکه تبلیغاتی برای بارگیری تبلیغات بهپایان میرساند و درنهایت دادهها را قبل از رفتن به یک سایت DDoS در یک کش محلی ذخیره میکند.
این صفحهای است که Swing VPN درخواست را ارسال کرده است (کلیک کنید). این وبسایت توسط خطوط هوایی ترکمنستان (turkmenistanairlines[.]tm) مدیریت میشود.
تا ژوئن ٢٠٢٣، این برنامه بیش از ۵ میلیون نصب در اندروید و بخصوص توسط کاربران ایرانی داشته و با تقسیم آن به ده، پتانسیل ۵٠٠ هزار RPS را با خود به همراه دارد. این برای DDoSing عددی چشمگیر است. لکرومی از گوگل به دلیل داشتن یک سیستم امنیتی ضعیف که به برنامههای مخرب اجازه میدهد از دستگاههای کاربران ناآگاه سواستفاده کنند، نیز انتقاد کرد.
اما خبرگزاریها فعلا به طور قطعی و صد درصدی نمیتوانند این ادعا را تایید کنند. در صورت دریافت اطلاعات جدیدتر، این خبر به روز خواهد شد.
برچسب ها: DDoSing, Swing VPN, باتنت, Google Drive, حملات DDoS, Distributed Denial of Service, وی پی ان, iOS, Github, Android , VPN, DDoS, تهدیدات سایبری, Cyber Security, جاسوسی سایبری, Botnet, اندروید, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news