IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

شناسایی بات‌نت DDoS در برنامه محبوب اندروید Swing VPN

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir swing vpn android app ddos botnet 1
برنامه Swing VPN در دستگاه‌های Android و iOS در دسترس است. اما تا این لحظه، نسخه اندروید توسط محققان به‌عنوان یک بات‌نت DDoS شناسایی شده است.

اپلیکیشن Swing VPN که در فروشگاه رسمی گوگل پلی با نام Swing VPN - Fast VPN Proxy موجود است، بیش از ۵ میلیون بار و بخصوص توسط کاربران ایرانی دانلود شده است.

نرم‌افزار Swing VPN یک برنامه VPN قانونی است که توسط Limestone Software Solutions برای سیستم‌های اندروید و iOS توسعه‌یافته است. با‌این‌حال، به گفته محقق سایبری، لکرومی، نسخه اندروید این برنامه یک بات‌نت DDoS است و گفته می‌شود که دارای هدف مخربی است زیرا می‌تواند حملات Distributed Denial-of-Service (حملات DDoS) را انجام دهد.

takian.ir swing vpn android app ddos botnet 2
‌همه‌چیز از آنجا شروع شد که دوست لکرومی به او از مشاهده یک الگوی درخواست غیرعادی در تلفن همراهش اطلاع داد. این تلفن به طور مداوم هر ١٠ ثانیه یک بار درخواست‌ها را به یک وب‌سایت خاص ارسال می‌کرد. ظاهرا این برنامه از تاکتیک‌های مختلفی برای پنهان کردن اقدامات مخرب خود استفاده کرده است تا کاربر، حمله را شناسایی نکند.

در ابتدا، لکرومی مقصر این مشکل را بدافزار یا یک ویروس دانست. با‌این‌حال، بررسی‌های بیشتر نشان داد که همه درخواست‌ها از برنامه Swing VPN که دوستش روی گوشی خود نصب کرده بود، ارسال شده است. درخواست‌ها به همان سایتی فرستاده شد که دوست لکرومی هرگز به آن دسترسی نداشته یا از آن بازدید نکرده بود، که این محقق را به برنامه مشکوک کرد.

برای بررسی بیشتر، لکرومی برنامه Pcapdroid را نصب کرد تا ارتباط گزارش ترمینال خود را بررسی کند و عملیات Swing VPN را بررسی کند. در این مرحله، وی مطمئن نبود که آیا برنامه Swing حاوی یک برنامه مخرب است یا خیر. او مشاهده کرد که برنامه Swing VPN برخی از درخواست‌ها را به یک سایت ارسال کرد.

برای تعیین هدف واقعی برنامه، او از mitmproxy برای گرفتن داده‌های ارسالی استفاده کرد. وی تشخیص داد که اپلیکیشن آدرس IP واقعی را بلافاصله پس از نصب، انتخاب زبان و پذیرش خط‌مشی رازداری مشخص می‌کند. سپس درخواستی را با عبارت «IP من چیست؟» به بی‌نگ و گوگل ارسال می‌کند. وی همچنین متوجه شد که برنامه HTML بازگشتی را تجزیه می‌کند و IP‌ها را از پاسخ‌ها و عمدتا برای یافتن فایل‌های پیکربندی برای آپلود، تمیز میدهد.

برنامه پس از شناسایی نوع پیکربندی مورد نیاز خود، درخواست‌هایی را به دو فایل پیکربندی مختلف ذخیره شده در حساب شخصی Google Drive توسعه‌دهنده ارسال می‌کند. این فایل‌ها از سرور‌های شخصی خاص، چندین مخزن GitHub یا حساب‌های Google Drive درخواست می‌شوند. این برنامه فرآیند اولیه‌سازی خود را با اتصال به یک شبکه تبلیغاتی برای بارگیری تبلیغات به‌پایان می‌رساند و در‌نهایت داده‌ها را قبل از رفتن به یک سایت DDoS در یک کش محلی ذخیره می‌کند.

این صفحه‌ای است که Swing VPN درخواست را ارسال کرده است (کلیک کنید). این وب‌سایت توسط خطوط هوایی ترکمنستان (turkmenistanairlines[.]tm) مدیریت می‌شود.

تا ژوئن ٢٠٢٣، این برنامه بیش از ۵ میلیون نصب در اندروید و بخصوص توسط کاربران ایرانی داشته و با تقسیم آن به ده، پتانسیل ۵٠٠ هزار RPS را با خود به همراه دارد. این برای DDoSing عددی چشمگیر است. لکرومی از گوگل به دلیل داشتن یک سیستم امنیتی ضعیف که به برنامه‌های مخرب اجازه می‌دهد از دستگاه‌های کاربران نا‌آگاه سواستفاده کنند، نیز انتقاد کرد.

اما خبرگزاری‌ها فعلا به طور قطعی و صد درصدی نمی‌توانند این ادعا را تایید کنند. در صورت دریافت اطلاعات جدید‌تر، این خبر به روز خواهد شد.

برچسب ها: DDoSing, Swing VPN, بات‌نت, Google Drive, حملات DDoS, Distributed Denial of Service, وی پی ان, iOS, Github, Android , VPN, DDoS, تهدیدات سایبری, Cyber Security, جاسوسی سایبری, Botnet, اندروید, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل