به تازگی محققان شرکت امنیتی Trend Micro گزارش داده اند که ۴۹ بدافزار تبلیغاتی، در قالب یک بازی وارد فروشگاه گوگل پلی شدهاند. هر چند این برنامهها دیگر وجود ندارند اما بر اساس گزارشها، نسخههای جدیدتر آنها توسط طرفهای مرتبط همچنان در این فروشگاه بارگذاری میشود.
گوگل اعلام کرده است که همکاری با شرکت های ESET، LookOut و Zimperium را برای یافتن این بدافزارها و محافظت در برابر تبلیغات و حملات سایبری آنها آغاز کرده است.
اگر چه در ماه های گذشته، چندین برنامه مخرب اندرویدی در فروشگاه گوگل شناسایی و پاکسازی شده است اما با این وجود، گویا چرخه کشف بدافزارهای اندرویدی و حذف آنها ظاهراً به زودی پایانی نخواهد داشت. تنها در ماه سپتامبر، محققان امنیتی توانستند ۱۷۲ برنامه آلوده شده را شناسایی کنند که تا آن زمان ۳۳۵ میلیون بار توسط کاربران نصب شده بودند.
چگونه برنامههای بدافزاری راه شان را به فروشگاه های امن باز میکنند؟
درخواستهای نصب برنامهها به شکل روزمره بسیار زیاد است و فروشگاه گوگل از موانعی استفاده میکند تا از ورود برنامههایی که به نظر مخرب میرسند، جلوگیری کند. با وجود تمام این تلاشها، کلاهبرداران هر بار برای پذیرش درخواستشان راههای جدیدی برای حقه زدن به گوگل پیدا میکنند. محققان آزمایشگاه Bitdefender روشهای استفاده شده توسط این افراد برای عبور از فیلترهای امنیتی پیادهسازی شده توسط گوگل را در مقاله فنی اخیرشان به شکل مفصل تشریح کردهاند. در ادامه برخی از این روشها ارایه شده است:
- رمزنگاری منطقی و کدگذاری مبهم: توسعه دهندگان از کدهای استاندارد برای پیادهسازی منطق اصلی برنامه استفاده نمیکنند و از کتابخانههای محلی که قابلیت اجرای پویا را دارند بهره میبرند. کد به دست آمده، رمزگشایی شده و در حالی که عملکرد خرابکارانهاش تا زمان دانلود و اجرا بر روی دستگاه کاربر مخفی باقی میماند، بارگذاری میشود. بسیاری مواقع، کد به قدری مبهم است که از بررسیهای امنیتی عبور میکند.
- بررسی زمان و مدت نمایش تبلیغات: بنا به گفته محققان، برنامههای مخرب این موضوع را بررسی میکنند که زمان سیستم حداقل ۱۸ ساعت عقبتر از زمان کدنویسی شده بر روی برنامه باشد. وقتی این بررسی انجام شد، برنامههای دستگاه قربانی شروع به ناپدید شدن میکنند. همچنین برخی بدافزارهای تبلیغاتی، مدت زمان طولانیتری بین تبلیغات فاصله میدهند (استاندارد این زمان ۳۵۰ دقیقه است) تا کاربر به آنها مشکوک نشود.
- ابزار کتابخانههای منبع باز: کتابخانههای منبع باز، همچون Evernoteیا Dropbox به جایAPI های اندروید، به منظور وارد کردن و اجرای کارها در پسزمینه مورد استفاده قرار میگیرند. برنامههای مخرب از این کتابخانهها برای کدنویسی عملکردهای ‘ShowAds’ یا ‘ShowAdsHideIcon’ استفاده میکردند.
- پاکسازی SDK (در ابتدا): توسعه دهندگان برنامههای مخرب، در ابتدا یک نسخه سالم از برنامهشان ایجاد میکردند تا بعداً بتوانند آن را با نسخهای که حاوی یک بدافزار تبلیغاتی است جایگزین کنند. این قابلیتهای مخرب به تدریج با بهروزرسانیهای انجام شده و همچنین با تغییر تنظیمات و رفتارهای برنامه، خود را نشان میدادند.
علاوه بر اینها روشهای دیگری نیز وجود دارند که توسعه دهندگان این برنامهها برای دور زدن سیستم کنترل برنامههای گوگل به کار میبردند. توسعه دهندگان همچنین با حسابهای کاربری توسعه دهندههای دیگر، کدهای مشابه را ثبت میکردند و برخی از تنظیمات سرور از راه دور یا دستوراتی را برای پنهان کردن کد مخرب استفاده میکردند.
اقدامهای پیش روی گوگل برای بهبود امنیت اندروید
شرکت گوگل جهت یافتن چنین بدافزارهایی و نیز محافظت از کاربران در برابر تبلیغات ناخواسته و حملات سایبری، همکاریهای نزدیکی را با شرکتهای امنیتی آغاز کرده است. محققان امنیتی امیدوارند که چنین اتحادی بتواند به کاهش مخاطرات بدافزارهای برنامههای تلفن همراهی و محافظت از ۲.۵ میلیون کاربر اندروید در برابر تهدیدهای جدید کمک کند.
اطمینان از امنیت فروشگاه گوگل و یافتن هر چه سریعتر برنامههای مضر و متوقف کردن انتشار آنها از مهمترین اولویتهایی است که شرکت گوگل برای فروشگاه برنامههای کاربردی خود در نظر گرفته است.
این غول جستوجوی اینترنتی همچنین بیان کرده است که بازبینی برنامههای توسعه دهندگانی که به تازگی حساب کاربری باز کردهاند، زمان بیشتری نیاز خواهد داشت.