چگونه مودهای جعلی گیمرها را قربانی می‌کنند؟ 

مانکرافت با بیش از ۳۵۰ میلیون نسخه فروش، پرفروش‌ترین بازی ویدئویی جهان به شمار می‌رود و در میان کودکان و بزرگسالان محبوبیت فراوانی دارد. اما این محبوبیت، امنیت کاربران را نیز به چالش کشیده است. مجرمان سایبری همواره تلاش کرده‌اند با انتشار نسخه‌های جعلی، مودشده و غیررسمی، کاربران را به دام بیندازند. بخش عمده‌ای از حملات سایبری مرتبط با مانکرافت نیز تاکنون به انتشار بدافزارها و نمایش تبلیغات مخرب اختصاص داشته است.

در ژانویه سال جاری، پژوهشگران امنیتی McAfee Labs از شناسایی کارزار بدافزاری جدیدی با نام WeedHack خبر دادند که بیش از ۱۱۶ هزار سیستم متعلق به بازیکنان مانکرافت را آلوده کرده است. بیشترین قربانیان این حمله در ایالات متحده بوده‌اند. با این حال، کشورهای آلمان، هند، بریتانیا، ایتالیا، ویتنام، کانادا، نروژ، سوئد، فنلاند و اسپانیا نیز از جمله کشورهایی هستند که شمار قابل توجهی از کاربران آن‌ها هدف این کارزار قرار گرفته‌اند.

در این کارزار، مهاجمان از بستر یوتیوب برای توزیع بدافزاری استفاده می‌کنند که کاربران مانکرافت را هدف قرار داده و پس از اجرا، کنترل کامل رایانه قربانی را در اختیار می‌گیرد. آن‌ها با استفاده از WeedHack، که ظاهراً یک داشبورد پیشرفته برای مدیریت این حملات است و امکان تزریق بدافزار به مودهای قانونی Minecraft را نیز فراهم می‌کند، نسخه‌های آلوده‌ای از مودها و کلاینت‌های بازی تولید کرده‌اند. این نسخه‌ها پس از دانلود، فایل JAR با نام DonutDupe.jar را روی سیستم قربانی اجرا می‌کنند و زمینه را برای آلودگی کامل دستگاه فراهم می‌سازند.

شناسایی ۲۰ مود جعلی در گوگل‌پلی

این اولین بار نیست که گزارشی درباره تهدیدهای امنیتی مرتبط با مودهای جعلی مانکرافت منتشر می‌شود. محققان کسپرسکی در سال ۲۰۲۱ معادل ۲۰ برنامه جعلی با عنوان نسخه مودشده مانکرافت را در گوگل‌پلی شناسایی کردند. 

محبوب‌ترین این نسخه‌ها که در واقع نوعی بدافزار تبلیغاتی بودند، بیش از یک میلیون بار دانلود شدند. با این حال، حذف این برنامه‌ها از گوگل‌پلی به معنای پایان تهدید نیست؛ زیرا مهاجمان معمولاً همان بدافزارها را با نام‌ها و حساب‌های توسعه‌دهنده جدید دوباره منتشر می‌کنند. به همین دلیل، پژوهشگران امنیتی به‌طور مستمر نسخه‌های مودشده مانکرافت را بررسی می‌کنند تا میزان اثربخشی حذف نسخه‌های آلوده را ارزیابی کنند.

نتایج این بررسی‌ها نشان می‌دهد که شناسایی و حذف بدافزارها به‌تنهایی برای مقابله با این تهدید کافی نیست، زیرا نسخه‌های جدید و پیشرفته‌تری از آن‌ها به‌سرعت منتشر می‌شوند. این نسخه‌ها بدون نیاز به هیچ اقدامی از سوی کاربر و از طریق اعلان‌های (Push Notification) تبلیغات تمام‌صفحه نمایش می‌دهند.

پژوهشگران همچنین دریافتند که این برنامه‌ها قادرند یک ماژول اضافی را از راه دور دانلود کنند. این ماژول قابلیت‌هایی مانند پنهان کردن آیکون برنامه، اجرای خودکار مرورگر، باز کردن صفحات گوگل‌پلی و پخش ویدئوهای یوتیوب را در اختیار مهاجمان قرار می‌دهد و دامنه فعالیت بدافزار را گسترش می‌دهد.

علاوه بر این، پژوهشگران چندین نسخه ساده‌تر از مودهای جعلی مانکرافت را نیز شناسایی کردند که با مدل اشتراک پولی عرضه می‌شدند. هرچند این نسخه‌ها قابلیت‌هایی مانند پنهان کردن آیکون برنامه یا اجرای خودکار مرورگر و صفحات یوتیوب و گوگل‌پلی را نداشتند، اما حتی زمانی که کاربر از برنامه استفاده نمی‌کرد نیز به‌صورت دوره‌ای تبلیغات تمام‌صفحه نمایش می‌دادند. توسعه‌دهندگان این برنامه‌ها نیز هم از محل نمایش تبلیغات و هم از طریق پرداخت‌های درون‌برنامه‌ای درآمد کسب می‌کردند.

۸۷ مود جعلی؛ نزدیک به یک میلیون دانلود

پژوهشگران شرکت ESET در سال ۲۰۱۷ در گزارشی از شناسایی ۸۷ مود جعلی مانکرافت در فروشگاه گوگل‌پلی خبر دادند که با نمایش تبلیغات تهاجمی و هدایت کاربران به کلاهبرداری‌های اینترنتی، گیمرهای اندرویدی را هدف قرار می‌دادند. این برنامه‌ها در مجموع حدود ۹۹۰ هزار بار نصب شده بودند. پژوهشگران فعالیت‌های مخرب مرتبط با این نسخه‌های مودشده جعلی را در دو دسته طبقه‌بندی کردند؛ برنامه‌های دانلودکننده تبلیغاتی و برنامه‌های جعلی که کاربران را به وب‌سایت‌های کلاهبرداری اینترنتی هدایت می‌کنند. در دسته اول، ۱۴ برنامه جعلی شناسایی شد و در دسته دوم هم ۷۳ برنامه. این برنامه‌ها که بین ژانویه تا مارس ۲۰۱۷ در گوگل پلی منتشر شده بودند، در مجموع حدود ۹۱۰ هزار بار دانلود شدند. 

توصیه‌های امنیتی

با وجود سوءاستفاده گسترده مهاجمان از محبوبیت مانکرافت، تاکنون هیچ گزارشی مبنی بر آلوده بودن نسخه رسمی این بازی به بدافزار یا سرقت اطلاعات کاربران منتشر نشده است. تقریباً تمام تهدیدهای شناسایی‌شده به نسخه‌های جعلی، مودهای غیررسمی و افزونه‌هایی مربوط می‌شود که از منابع نامعتبر دانلود شده‌اند. بنابراین، کاربرانی که نسخه رسمی مانکرافت را از فروشگاه‌های معتبر مانند گوگل‌پلی، اپ‌استور یا فروشگاه رسمی مایکروسافت دریافت می‌کنند، در معرض این دسته از تهدیدها قرار نخواهند گرفت.

البته این حملات محدود به کشور یا منطقه خاصی نیست و کاربران سراسر جهان را هدف قرار می‌دهد. با این حال، کاربران ایرانی به دلیل محدودیت دسترسی به فروشگاه‌های رسمی، بیش از دیگران در معرض خطر قرار دارند. بسیاری از آن‌ها نسخه بازی را از وب‌سایت‌های دانلود فایل APK، کانال‌های تلگرامی، فروشگاه‌های متفرقه اندرویدی یا نسخه‌های کرک‌شده دریافت می‌کنند؛ همان مسیرهایی که مجرمان سایبری برای انتشار بدافزار از آن‌ها استفاده می‌کنند.

برای کاهش خطر آلودگی، رعایت چند توصیه امنیتی ضروری است. کاربران باید نسخه رسمی مانکرافت را تنها از فروشگاه‌های معتبر دریافت کنند و از نصب نسخه‌های کرک‌شده یا مودهای منتشرشده در منابع ناشناس خودداری کنند. همچنین، مودها و افزونه‌ها را فقط از وب‌سایت‌های معتبر و شناخته‌شده دانلود کنند، قابلیت Google Play Protect را در دستگاه‌های اندرویدی فعال نگه دارند و پیش از نصب هر برنامه، مجوزهای درخواستی آن را با دقت بررسی کنند. برای مثال، یک مود مانکرافت هیچ نیازی به دسترسی به پیامک‌ها، فهرست مخاطبان یا سایر مجوزهای حساس ندارد و درخواست چنین مجوزهایی می‌تواند نشانه‌ای از رفتار مخرب برنامه باشد.