گوگل پلی و مشکلی به نام برنامه های مخرب

به تازگی محققان شرکت امنیتی Trend Micro گزارش داده ­اند که ۴۹ بدافزار تبلیغاتی، در قالب یک بازی وارد فروشگاه گوگل ­پلی شده‌اند. هر چند این برنامه‌ها دیگر وجود ندارند اما بر اساس گزارش‌ها، نسخه‌های جدیدتر آنها توسط طرف‌های مرتبط همچنان در این فروشگاه بارگذاری می‌شود.

گوگل اعلام کرده است که همکاری با شرکت­ های ESET، LookOut و Zimperium را برای یافتن این بدافزارها و محافظت در برابر تبلیغات و حملات سایبری آنها آغاز کرده است.

اگر چه در ماه­ های گذشته، چندین برنامه مخرب اندرویدی در فروشگاه گوگل شناسایی و پاک‌سازی شده است اما با این وجود، گویا چرخه کشف بدافزارهای اندرویدی و حذف آنها ظاهراً به زودی پایانی نخواهد داشت. تنها در ماه سپتامبر، محققان امنیتی توانستند ۱۷۲ برنامه آلوده شده را شناسایی کنند که تا آن زمان ۳۳۵ میلیون بار توسط کاربران نصب شده بودند.

چگونه برنامه‌های بدافزاری راه ­شان را به فروشگاه های امن باز می‌کنند؟

درخواست‌های نصب برنامه‌ها به شکل روزمره بسیار زیاد است و فروشگاه گوگل از موانعی استفاده می‌کند تا از ورود برنامه‌هایی که به نظر مخرب می‌رسند، جلوگیری کند. با وجود تمام این تلاش‌ها، کلاهبرداران هر بار برای پذیرش درخواست­شان راه‌های جدیدی برای حقه زدن به گوگل پیدا می‌کنند. محققان آزمایشگاه  Bitdefender روش­های استفاده شده توسط این افراد برای عبور از فیلترهای امنیتی پیاده‌سازی شده توسط گوگل را در مقاله فنی اخیرشان به شکل مفصل تشریح کرده‌اند. در ادامه برخی از این روش‌ها ارایه شده است:

• رمزنگاری منطقی و کدگذاری مبهم: توسعه دهندگان از کدهای استاندارد برای پیاده‌سازی منطق اصلی برنامه استفاده نمی‌کنند و از کتابخانه‌های محلی که قابلیت اجرای پویا را دارند بهره می‌برند. کد به دست آمده، رمزگشایی شده و در حالی که عملکرد خرابکارانه‌اش تا زمان دانلود و اجرا بر روی دستگاه کاربر مخفی باقی می‌ماند، بارگذاری می‌شود. بسیاری مواقع، کد به قدری مبهم است که از بررسی‌های امنیتی عبور می‌کند.
• بررسی زمان و مدت نمایش تبلیغات: بنا به گفته محققان، برنامه‌های مخرب این موضوع را بررسی می‌کنند که زمان سیستم حداقل ۱۸ ساعت عقب‌تر از زمان کدنویسی شده بر روی برنامه باشد. وقتی این بررسی انجام شد، برنامه‌های دستگاه قربانی شروع به ناپدید شدن می‌کنند. همچنین برخی بدافزارهای تبلیغاتی، مدت زمان طولانی‌تری بین تبلیغات فاصله می‌دهند (استاندارد این زمان ۳۵۰ دقیقه است) تا کاربر به آنها مشکوک نشود.
• ابزار کتابخانه‌های منبع باز: کتابخانه‌های منبع باز، همچون Evernoteیا Dropbox به جایAPI ‌های اندروید، به منظور وارد کردن و اجرای کارها در پس‌زمینه مورد استفاده قرار می‌گیرند. برنامه‌های مخرب از این کتابخانه‌ها برای کدنویسی عملکردهای ‘ShowAds’ یا ‘ShowAdsHideIcon’ استفاده می‌کردند.
• پاک‌سازی SDK (در ابتدا): توسعه دهندگان برنامه‌های مخرب، در ابتدا یک نسخه سالم از برنامه‌شان ایجاد می‌کردند تا بعداً بتوانند آن را با نسخه‌ای که حاوی یک بدافزار تبلیغاتی است جایگزین کنند. این قابلیت‌های مخرب به تدریج با به‌روزرسانی‌های انجام شده و همچنین با تغییر تنظیمات و رفتارهای برنامه، خود را نشان می‌دادند.

علاوه بر اینها روش‌های دیگری نیز وجود دارند که توسعه دهندگان این برنامه‌ها برای دور زدن سیستم کنترل برنامه‌های گوگل به کار می‌بردند. توسعه دهندگان همچنین با حساب‌های کاربری توسعه دهنده­های دیگر، کدهای مشابه را ثبت می‌کردند و برخی از تنظیمات سرور از راه دور یا دستوراتی را برای پنهان کردن کد مخرب استفاده می‌کردند.

اقدام­های پیش روی گوگل برای بهبود امنیت اندروید

شرکت گوگل جهت یافتن چنین بدافزارهایی و نیز محافظت از کاربران در برابر تبلیغات ناخواسته و حملات سایبری، همکاری­های نزدیکی را با شرکت­های امنیتی آغاز کرده است. محققان امنیتی امیدوارند که چنین اتحادی بتواند به کاهش مخاطرات بدافزارهای برنامه‌های تلفن همراهی و محافظت از ۲.۵ میلیون کاربر اندروید در برابر تهدیدهای جدید کمک کند.

اطمینان از امنیت فروشگاه گوگل و یافتن هر چه سریع‌تر برنامه‌های مضر و متوقف کردن انتشار آنها از مهمترین اولویت­هایی است که شرکت گوگل برای فروشگاه برنامه­های کاربردی خود در نظر گرفته است.

این غول جست‌وجوی اینترنتی همچنین بیان کرده است که بازبینی برنامه‌های توسعه دهندگانی که به تازگی حساب کاربری باز کرده‌اند، زمان بیشتری نیاز خواهد داشت.