روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ ما همیشه توصیه کردهایم اپهای اندرویدی خود را از فروشگاههای رسمی دانلود کنید و نه هیچ جای دیگری؛ اما این بدان معنا نیست که در گوگلپلی هیچ ویروسی وجود نداشته باشد. البته این را هم باید در نظر گرفت که به نسبتِ سایتهای طرفسوم در گوگلپلی ویروسهای کمتری یافت میشود و مرتباً نیز از میان برداشته میشوند.
چطور گوگل، امنیت اپهای اندرویدی را تحت نظارت قرار میدهد؟
برای بدافزارها ورود به گوگلپلی کاریست بس سخت و دشوار. ناظرین و مسئولین پیش از انتشار اپ، آن را با فهرستی مبسوط از معیارها مورد بررسی قرار میدهند. اگر در این میان به عامل متهاجمی بر بخورند، مانع عرضهی برنامه از فروشگاه میشوند. با این حال، گوگلپلی به قدری اپهای جدید در خود گنجانده و همچنین آپدیتهای اپهای از پیش موجود را دربردارد که ناظرین گاهی اوقات محال است بتوانند تکتک امور را زیر نظر بگیرند. از همین روست که هر از چند گاهی پیش میآید که اپهایی آلوده بهآرامی در آن رخنه کنند. در ادامه با ما همراه شوید تا در این خصوص، تکاندهندهترین رخدادها را برایتان تعریف کنیم.
آگهیای که دوست دارید ببینید
بتازگی، محققین ما کد مخربی را در اپ CamScanner (برای دیجیتالی کردن داکیومنتها) شناسایی کردند. این اپ نه تنها در فروشگاه گوگلپلی موجود بود؛ بلکه همچنین به گفتهی شرکت گوگل بیش از 100 میلیون کاربر نیز آن را روی دستگاههای خود نصب کرده بودند.
ایراد کار کجا بود؟ بسیارخوب، در یک مقطع زمانی CamScanner اپی نرمال بود که فقط یک سری کارکردهای خاص خودش را داشت. توسعهدهندگان آن درآمد خود را از راه آگهیها و قابلیتهای پولیِ این اپ بدست میآوردند- که چیز کاملاً طبیعی و معقولی است. اما همهچیز با ورود ماژول تبلیغاتی آلوده به این اپ عوض شد. این بدافزار در قالب یک دراپر Necro.n Trojan به یکی از ماژولهای تبلیغاتیاش رخنه کرد و تروجان دیگری را در آن نصب کرد که کارش دانلود چیزهای آلودهی دیگری در دستگاه بود- برای مثال اپها و برنامههای تبلیغاتی که دور از چشم کاربران عضویتهای پولی را به سرویسهای طرفسوم تحویل میدهند.
متخصصین ما یافتههای خود را در اختیار گوگل قرار دادند و مدیران این شرکت نیز بلافاصله اپ را از فروشگاه برداشتند. توسعهدهندگان CamScanner همچنین به سرعت ماژولهای آلوده را از اپ پاک کردند تا آن را صحیح و سالم به فروشگاه بازگردانند. با این وجود، نسخهی آلودهی این اپ تا مدتها روی سایت فروشگاه قابلدسترسی بود.
عاملین سرقت
CamScanner به هیچوجه تنها اپی نیست که درست بعد از گذاشته شدن در فهرست اپهای موجود در گوگلپلی شاهد قابلیتهای آلوده در آن بودهایم. سازندگان تروجانی نیز تا مدتها در قالب عاملی برای گوش دادن به آهنگ در VKontakte نیز سعی داشتند مسئولین و ناظرین گوگلپلی را به نحوی دور بزنند. ابتدا نسخهی تمیز و بدون هیچ آلودگی در گوگلپلی آپلود و بعد از آن چندین آپدیت بیضرر هم ارائه گشت. اما بعد از دریافت چند آپدیت، اپ شروع کرد به سرقت نامهای کاربری و رمزعبورها از اکانتهای VK. علاوه بر این، اکانت قربانیها که اکثراً روحشان هم از این ماجرا خبردار نبود بسیار محرمانه برای تبلیغ گروههای VK مورد استفاده قرار گرفت.
وقتی نسخهی بروزشدهی این اپ نقاب از چهره برداشت و از فروشگاه برداشته شد، سازندگانش فوراً نسخهی جدیدی از آن را آپلودند کردند (در واقع چندین نسخه). در سال 2015، بیش از 7 مدل مختلف این برنامهی آلوده از روی فروشگاه گوگلپلی پاک شد (چندتایی هم در سال 2016). در طول بازهی زمانی دو ماهه در سال 2017، تحلیلگران ما 85 اپ این چنینی را در گوگلپلی شمارش کردند که یکی از آنها بیش از یک میلیون بار توسط کاربران دانلود شده بود. علاوه بر این، نسخههای تقلبی تلگرام نیز با نویسندگان مشابه در این فروشگاه پدیدار شد- این اپها هدفشان سرقت رمزعبور نبود؛ بلکه قربانی را به گروهها و چتهای مورد علاقهی مجرمان سایبری اضافه میکردند.
ارتشی آلوده روی گوگلپلی
افسوس که ماجرا به 85 نسخه کپی از یک اپِ آلوده ختم نمیشود؛ در سال 2016 متخصصین به وجود بیش از 400 گیم و برنامههای دیگر روی این فروشگاه پی بردند که به تروجان DressCode مزین شده بودند. این بدافزار به محض فرود روی دستگاه قربانی، با سرور فرمان و کنترل ارتباط برقرار کرده و بعد «به خواب میرود». آنوقت مجرمان سایبری میتوانند از چنین گجتهای آلودهی به خواب رفته برای حملات DDoS استفاده کنند تا از این طریق تعداد کلیک روی بنرهای تبلیغاتی را بالا برده یا به شبکههای داخلی نفوذ کنند (شبکههایی که همین گجتها بدانها متصلند)- از جمله شبکهی خانگی یا زیرساختهای شرکت.
انصاف داشته باشیم؛ مسئولین و ناظران گوگلپلی نمیتوانند بخاطر این غفول سرزنش شوند. DressCode خیلی سخت مورد شناسایی قرار میگیرد؛ کدش آنقدر کوچک است که میان کد اپهای رسانهای گم میشود. تازه، نسبت به گوگلپلی برنامههای آلودهتری در سایتها طرفسوم میشود پیدا کرد. به طور کلی، محققین متوجه شدند حدود 3000 اپ به تروجان DressCode گرفتار شدند که 400 تا در مقایسه با این عدد هیچ است (هر چند نمیشود آن را به هیچوجه نادیده گرفت).
چطور در گوگلپلی به پست بدافزارها نخوریم
همانطور که مستحضر هستید، این حقیقت که اپی که به فروشگاه اندرویدیِ رسمیای راه پیدا میکند دیگر برای همیشه امن است داستانی خیالی است. واقعاً پیش میآید که برخیاوقات بدافزارها به این فروشگاه رسمی نیز حمله کنند. حال برای جلوگیری از مواجهه با چنین بدافزارهایی باید چه کرد؟
- اپها را مستقیم از روی اسمارتفونتان دانلود نکنید. تحلیلها و نقدهای کاربران را در خصوص اپ بخوانید که اساساً از این طریق اطلاعات ارزشمندی در مورد رفتار اپ به شما داده میشود. به دنبال اطلاعاتی در مورد توسعهدهندهی اپ مورد نظر خود باشید؛ شاید بد نباشد اگر بدانید قبلاً چه اپهایی در این فروشگاه گذاشته بوده و کدامها از این پلتفرم برداشته شدند (و یا کدامیک از کارهای او/ آنها داستانهای مشکوک داشتهاند).
- نقد و تحلیلهای کاربران را با احتیاط و دقت بخوانید. در نظر داشته باشید که ممکن است خود توسعهدهندگان بیایند و با نظرهای خوب و رنگین شما را فریب دهند. بنابراین، به دنبال نقدهای طولانیتر از فقط «عجب اپی است!»، «واقعاً اپ خوبیست!» باشید.
- این عادت را پیدا کنید که هر چند ماه یکبار اسمارتفون یا تبلت اندرویدی خود را از وجود برنامههای غیرضروری پاک کنید. هر قدر اپهای کمتری روی دستگاه باشد، کنترل و نظارتشان نیز آسانتر خواهد شد.
- از راهحل امنیتی مطمئنی استفاده کنید که بتواند شما را در مقابل تهدیدهایی که ناظرین گوگلپلی برخیاوقات از آنها غافل میشوند محافظت کند.
پاسخ آخر به سوال مطروحه: بله این ماجرا خیالیست؛ بدافزارها برخیاوقات میتوانند وارد گوگلپلی شوند اما این را هم بگوییم که احتمال دریافت اپی آلوده در گوگلپلی خیلی کمتر از سایتهای طرفسوم است (اما همچنان باید مراقب بود).
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.