روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ما همیشه توصیه کرده‌ایم اپ‌های اندرویدی خود را از فروشگاه‌های رسمی دانلود کنید و نه هیچ جای دیگری؛ اما این بدان معنا نیست که در گوگل‌پلی هیچ ویروسی وجود نداشته باشد. البته این را هم باید در نظر گرفت که به نسبتِ سایت‌های طرف‌سوم در گوگل‌پلی ویروس‌های کمتری یافت می‌شود و مرتباً نیز از میان برداشته می‌شوند.

چطور گوگل، امنیت اپ‌های اندرویدی را تحت نظارت قرار می‌دهد؟

برای بدافزارها ورود به گوگل‌پلی کاریست بس سخت و دشوار. ناظرین و مسئولین پیش از انتشار اپ، آن را با فهرستی مبسوط از معیارها مورد بررسی قرار می‌دهند. اگر در این میان به عامل متهاجمی بر بخورند، مانع عرضه‌ی برنامه از فروشگاه می‌شوند. با این حال، گوگل‌پلی به قدری اپ‌های جدید در خود گنجانده و همچنین آپدیت‌های اپ‌های از پیش موجود را دربردارد که ناظرین گاهی اوقات محال است بتوانند تک‌تک امور را زیر نظر بگیرند. از همین روست که هر از چند گاهی پیش می‌آید که اپ‌هایی آلوده به‌آرامی در آن رخنه کنند. در ادامه با ما همراه شوید تا در این خصوص، تکان‌دهنده‌ترین رخدادها را برایتان تعریف کنیم.

آگهی‌ای که دوست دارید ببینید

بتازگی، محققین ما کد مخربی را در اپ CamScanner (برای دیجیتالی کردن داکیومنت‌ها) شناسایی کردند. این اپ نه تنها در فروشگاه گوگل‌پلی موجود بود؛ بلکه همچنین به گفته‌ی شرکت گوگل بیش از 100 میلیون کاربر نیز آن را روی دستگاه‌های خود نصب کرده بودند.

ایراد کار کجا بود؟ بسیارخوب، در یک مقطع زمانی CamScanner اپی نرمال بود که فقط یک سری کارکردهای خاص خودش را داشت. توسعه‌دهندگان آن درآمد خود را از راه آگهی‌ها و قابلیت‌های پولیِ این اپ بدست می‌آوردند- که چیز کاملاً طبیعی و معقولی است. اما همه‌چیز با ورود ماژول تبلیغاتی آلوده‌ به این اپ عوض شد. این بدافزار در قالب یک دراپر Necro.n Trojan به یکی از ماژول‌های تبلیغاتی‌اش رخنه کرد و تروجان دیگری را در آن نصب کرد که کارش دانلود چیزهای آلوده‌ی دیگری در دستگاه بود- برای مثال اپ‌ها و برنامه‌های تبلیغاتی که دور از چشم کاربران عضویت‌های پولی را به سرویس‌های طرف‌سوم تحویل می‌دهند.

متخصصین ما یافته‌های خود را در اختیار گوگل قرار دادند و مدیران این شرکت نیز بلافاصله اپ را از فروشگاه برداشتند. توسعه‌دهندگان CamScanner همچنین به سرعت ماژول‌های آلوده را از اپ پاک کردند تا آن را صحیح و سالم به فروشگاه بازگردانند. با این وجود، نسخه‌ی آلوده‌ی این اپ تا مدت‌ها روی سایت فروشگاه قابل‌دسترسی بود.

عاملین سرقت

CamScanner به هیچ‌وجه تنها اپی نیست که درست بعد از گذاشته شدن در فهرست اپ‌های موجود در گوگل‌پلی شاهد قابلیت‌های آلوده در آن بوده‌ایم. سازندگان تروجانی نیز تا مدت‌ها در قالب عاملی برای گوش دادن به آهنگ در VKontakte نیز سعی داشتند مسئولین و ناظرین گوگل‌پلی را به نحوی دور بزنند. ابتدا نسخه‌ی تمیز و بدون هیچ آلودگی در گوگل‌پلی آپلود و بعد از آن چندین آپدیت بی‌ضرر هم ارائه گشت. اما بعد از دریافت چند آپدیت، اپ شروع کرد به سرقت نام‌های کاربری و رمزعبورها از اکانت‌های VK. علاوه بر این، اکانت قربانی‌ها که اکثراً روحشان هم از این ماجرا خبردار نبود بسیار محرمانه برای تبلیغ گروه‌های VK مورد استفاده قرار گرفت.

وقتی نسخه‌ی بروز‌شده‌ی این اپ نقاب از چهره برداشت و از فروشگاه برداشته شد، سازندگانش فوراً نسخه‌ی جدیدی از آن را آپلودند کردند (در واقع چندین نسخه). در سال 2015، بیش از 7 مدل مختلف این برنامه‌ی آلوده از روی فروشگاه گوگل‌پلی پاک شد (چندتایی هم در سال 2016). در طول بازه‌ی زمانی دو ماهه در سال 2017، تحلیلگران ما 85 اپ این چنینی را در گوگل‌پلی شمارش کردند که یکی از آن‌ها بیش از یک میلیون بار توسط کاربران دانلود شده بود. علاوه بر این، نسخه‌های تقلبی تلگرام نیز با نویسندگان مشابه در این فروشگاه پدیدار شد- این اپ‌ها هدفشان سرقت رمزعبور نبود؛ بلکه قربانی را به گروه‌ها و چت‌های مورد علاقه‌ی مجرمان سایبری اضافه می‌کردند.

ارتشی آلوده روی گوگل‌پلی

افسوس که ماجرا به 85 نسخه کپی از یک اپِ آلوده ختم نمی‌شود؛ در سال 2016 متخصصین به وجود بیش از 400 گیم و برنامه‌های دیگر روی این فروشگاه پی بردند که به تروجان DressCode مزین شده بودند. این بدافزار به محض فرود روی دستگاه قربانی، با سرور فرمان و کنترل ارتباط برقرار کرده و بعد «به خواب می‌رود». آنوقت مجرمان سایبری می‌توانند از چنین گجت‌های آلوده‌ی به خواب رفته برای حملات DDoS استفاده کنند تا از این طریق تعداد کلیک‌ روی بنرهای تبلیغاتی را بالا برده یا به شبکه‌های داخلی نفوذ کنند (شبکه‌هایی که همین گجت‌ها بدان‌ها متصلند)- از جمله شبکه‌ی خانگی یا زیرساخت‌های شرکت.

انصاف داشته باشیم؛ مسئولین و ناظران گوگل‌پلی نمی‌توانند بخاطر این غفول سرزنش شوند. DressCode خیلی سخت مورد شناسایی قرار می‌گیرد؛ کدش آنقدر کوچک است که میان کد اپ‌های رسانه‌ای گم می‌شود. تازه، نسبت به گوگل‌پلی برنامه‌های آلوده‌تری در سایت‌ها طرف‌سوم می‌شود پیدا کرد. به طور کلی، محققین متوجه شدند حدود 3000 اپ به تروجان DressCode گرفتار شدند که 400 تا در مقایسه با این عدد هیچ است (هر چند نمی‌شود آن را به هیچ‌وجه نادیده گرفت).

چطور در گوگل‌پلی به پست بدافزارها نخوریم

همانطور که مستحضر هستید، این حقیقت که اپی که به فروشگاه اندرویدیِ رسمی‌ای راه پیدا می‌کند دیگر برای همیشه امن است داستانی خیالی است. واقعاً پیش می‌آید که برخی‌اوقات بدافزارها به این فروشگاه رسمی نیز حمله کنند. حال برای جلوگیری از مواجهه با چنین بدافزارهایی باید چه کرد؟

• اپ‌ها را مستقیم از روی اسمارت‌فونتان دانلود نکنید. تحلیل‌ها و نقدهای کاربران را در خصوص اپ بخوانید که اساساً از این طریق اطلاعات ارزشمندی در مورد رفتار اپ به شما داده می‌شود. به دنبال اطلاعاتی در مورد توسعه‌دهنده‌ی اپ مورد نظر خود باشید؛ شاید بد نباشد اگر بدانید قبلاً چه اپ‌هایی در این فروشگاه گذاشته بوده و کدام‌ها از این پلت‌فرم برداشته شدند (و یا کدامیک از کارهای او/ آن‌ها داستان‌های مشکوک داشته‌اند).
• نقد و تحلیل‌های کاربران را با احتیاط و دقت بخوانید. در نظر داشته باشید که ممکن است خود توسعه‌دهندگان بیایند و با نظرهای خوب و رنگین شما را فریب دهند. بنابراین، به دنبال نقدهای طولانی‌تر از فقط «عجب اپی است!»، «واقعاً اپ خوبیست!» باشید.
• این عادت را پیدا کنید که هر چند ماه یکبار اسمارت‌فون یا تبلت اندرویدی خود را از وجود برنامه‌های غیرضروری پاک کنید. هر قدر اپ‌های کمتری روی دستگاه باشد، کنترل و نظارت‌شان نیز آسانتر خواهد شد.
• از راه‌حل امنیتی مطمئنی استفاده کنید که بتواند شما را در مقابل تهدیدهایی که ناظرین گوگل‌پلی برخی‌اوقات از آن‌ها غافل می‌شوند محافظت کند.

پاسخ آخر به سوال مطروحه: بله این ماجرا خیالیست؛ بدافزارها برخی‌اوقات می‌توانند وارد گوگل‌پلی شوند اما این را هم بگوییم که احتمال دریافت اپی آلوده در گوگل‌پلی خیلی کمتر از سایت‌های طرف‌سوم است (اما همچنان باید مراقب بود).