روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کاربران فکر می‌کنند نصب اپ‌ها از گوگل‌پلی امن‌تر است و از اینها گذشته این سرویس، رسمی‌ترینِ همه فروشگاه‌های آنلاین اندروید است و همه اپ‌هایی که آنجاست توسط مدارتورهای گوگل مورد نظارت هستند. شما هم اینطور فکر می‌کنید؟ در نظر داشته باشید که گوگل‌پلی خانه بیش از 3 میلیون اپ منحصر به فرد است که بیشترشان مرتباً آپدیت می‌شوند اما نظارت روی همه آن‌ها به صورت دائم و همزمان از عهده‌ی هیچ سازمان بزرگی در جهان برنمی‌آید. پس خوب به این حقیقت آگاه باشید که سازندگان اپ‌های مخرب کلی تکنیک در آستین دارند که می‌شود با آن‌ها حتی گوگل‌پلی را خام کرد. در این مقاله نگاهی خواهیم داشت بر چشمگیرترین اخبار 2023 در مورد اپ‌های مخرب در فروشگاه رسمی اندروید (گوگل‌پلی) که جمعاً بیش از 600 میلیون بار دانلود شدند. با ما همراه باشید!

50 هزار دانلود: اپ آلوده‌ی iRecorder که روی کاربران استراق سمع انجام می‌داد

بیایید با دانلود پایین شروع کنیم اما به یاد داشته باشید این مورد بسیار جذاب و به شدت تصویری است. این اپ ضبط اسکرین برای اسمارت‌فون‌های اندرویدی سپتامبر 2021 در گوگل‌پلی آپلود شد. اما آگست 2022 توسعه‌دهندگان آن یک سری ویژگی‌های مخرب به آن اضافه کردند: کدهایی از تروجان دسترسی ریموت به نام AhMyth که باعث شد اسمارت‌فون‌ همه کاربری که اپ را نصب کرده بودند هر 15 دقیقه یکبار صدا را از میکروفون ضبط کنند و آن را به سرور سازندگان اپ ارسال کنند. وقتی محققین این مسئله را می 2023 متوجه شدند، اپ  iRecorder بیش از 50 هزار بار دانلود شده بود. این نمونه نشان‌دهنده یکی از راه‌هایی است که در آن، اپ‌های مخرب می‌توانند به داخل گوگل‌پلی بخزند. ابتدا مجرمان سایبری اپ بی‌گناهی را در فروشگاه آپلود می‌کنند؛ اپی که تضمین‌شده است و همه بررسی‌های تعدیل رویش انجام شده. سپس وقتی اپ مخاطب خودش را بدست آورد و کمی محبوب شد (که می‌تواند ماه‌ها یا حتی سال‌ها طول بکشد) یک قابلیت مخرب در آپدیت بعدی‌اش اضافه شده و در گوگل‌پلی آپلود خواهد شد.

620 هزار دانلود: تروجان عضویت Fleckpe

همچنین در می 2023 متخصصین ما چندین اپ روی گوگل‌پلی پیدا کردند که با تروجان عضویت  Fleckpe آلوده شده بودند. آن زمان 620 هزار بار نصب شده بود و جالب است این اپ‌ها توسط توسعه‌دهندگان مختلف آپلود شده بودند. تاکتیک دیگر را بگوییم؟: مجرمان سایبری در این فروشگاه اکانت‌های توسعه‌دهنده مختلفی می‌سازند تا حتی اگر مدراتورها یکی را بلاک کردند آن‌ها بتوانند سریع اپ مشابهی را در اکانت دیگری آپلود کنند.

وقتی اپ آلوده اجرا شد، پی‌لود مخرب اصلی در اسمارت‌فون قربانی دانلود شد که بعدش تروجان به سرور فرمان و کنترل وصل شد. سرور بنا بر این اطلاعات، دستورالعمل‌هایی برای چگونه ادامه دادن روند ارائه داد. Fleckpe سپس با عضویت‌هایی پولی در پنجره مرورگر که از چشم کاربر پوشیده است، وب‌پیج‌هایی را باز کرد و با رهگیری کدهای تأیید از سوی نوتیف‌های دریافتی - از طریق حساب اپراتور تلفن همراه - کاربر را در سرویس‌های پولی عضو کرد.

1.5 میلیون دانلود: جاسوس‌افزار چینی

جولای 2023، گوگل‌پلی میزبان دو فایل منیجر شد- یکی با یک میلیون دانلود و دیگری نیم‌میلیون. علی‌رغم تضمین‌هایی که توسعه‌دهنده داده بود (که اپ هیچ اطلاعاتی را قرار نیست جمع کند) محققین دریافتند که هر دو فایل منیجر داشتند کلی داده کاربری را به سرورهایی در چین انتقال می‌دادند. این اطلاعات شامل کانتکت‌ها، ژئولوکیسن در لحظه، داده‌هایی در مورد مدل و شبکه تلفن همراه گوشی، عکس‌ها، صوت و فایل ویدیویی و غیره می‌شد.

2.5 میلیون دانلود: آگهی‌افزار پس‌زمینه

جدیدترین نمونه‌های کشف‌شده در گوگل‌پلی برای آگست 2023 هستند که محققین 43 اپ را پیدا کردند. از میان آن‌ها می‌توان به TV/DMB Player, Music Downloader, News و Calendar اشاره کرد که مخفیانه داشتند آگهی‌ها را وقتی اسکرین اسمارت‌فون‌ کاربر خاموش بود لود می‌کردند. اپ‌ها برای اینکه کار خود را در پس‌زمینه انجام دهند از کاربر خواستند آن‌ها را به فهرست استثناهای صرفه‌جویی انرژی اضافه کنند. طبیعتاً کاربران آلوده‌شده با خالی شدن باتری مواجه شدند. این اپ‌ها جمعاً 2.5 میلیون دانلود را رقم زدند و مخاطب هدف هم کره‌ای‌ها بودند.

20 میلیون دانلود: اپ‌های اسکمی با وعده‌ی جایزه

مقاله‌ای چاپ‌شده در اوایل 2023 نشان می‌دهد اپ‌های مرموزی روی گوگل‌پلی هست که بین‌شان مواردی با بیش از 20 میلیون دانلود دیده می‌شود. اغلب آن‌ها ردیاب‌های سلامتی بودند و به کاربر وعده داده بودند اگر پیاده‌روی کنند یا یک سری کارهای مربوط به سلامتی انجام دهند جایزه نقد دریافت می‌کنند (همچنین از آن‌ها خواسته شده بود اپ‌های دیگر را نصب یا آگهی تماشا کنند).به‌طور دقیق‌تر، به کاربر برای این اقدامات امتیازی تعلق می‌گرفت که ظاهراً می‌توان آن را به پول واقعی تبدیل کرد. تنها مشکل این بود که برای دریافت جایزه، باید آنقدر امتیاز جمع می‌کردید که عملاً غیرممکن بود.

35 میلیون دانلود: شبیه‌سازهای ماینکرفت با آگهی‌افزارهایی در شکم خود!

گوگل‌پلی امسال میزبان گیم‌های آلوده هم شد و سردرمدار مجرمان در این بخش (که البته بار اولش هم نیست) ماینکرفت است. این بازی هنور در جهان محبوب‌ترین است. در آوریل 2023 تعداد 38 شبیه‌ساز ماینکرفتی در فروشگاه رسمی اندروید شناسایی شد (جمعاً 35 میلیون دانلود). داخل این اپ‌ها آگهی‌افزاری به نام HiddenAds قرار داشت.

وقتی اپ‌های آلوده لانچ شدند، بدون اینکه کاربر خودش بداند، آگهی‌های پنهانی را نمایش می‌دادند. شاید به خودی خود این تهدید جدی‌ای نباشد اما چنین رفتاری می‌تواند عملکرد دستگاه و عمر باتری را هدف قرار دهد.  و آن اپ‌های آلوده همیشه بعداً در ادامه طرح‌های درآمدزایی با ضرر کمتر را به همراه خواهند داشت. این هم تاکتیک استاندارد دیگر برای سازندگان اپ بدافزار اندرویدی است: آن‌ها بین انواع مختلف فعالیت‌های مخرب –بسته به اینکه در لحظه کدام بخش برایشان سود بیشتری دارد- سوئیچ می‌کنند.

100 میلیون دانلود: جمع‌آوری داده و کلابرداری کلیک

همچنین آوریل 2023 تعداد 60 اپ دیگر در گوگل‌پلی پیدا شد که آلوده به آگهی‌افزاری به نام Goldoson بودند. این اپ‌ها جمعاً بیش از 100 میلیون بار در گوگل‌پلی و بعدش 8 میلیون بار هم در فروشگاه معروف کره‌ای به نام ONE دانلود شدند. این بدافزار همچنین با باز کردن وب‌پیج‌های داخل اپ در پس‌زمینه، آگهی‌های مخفی را نشان می‌داد. افزون بر این، اپ‌های مخرب داده‌های کاربری جمع می‌کردند (شامل اطلاعاتی در مورد اپ‌های نصب‌شده، ژئولوکیشن، آدرس‌ دستگاه‌های متصل به اسمارت‌فون‌ از طریق وای‌فای و بلوتوث و غیره). Goldoson

 به نظر می‌رسد به همراه آرشیو مخرب که خیلی از توسعه‌دهندگان قانونی استفاده می‌کنند به همه این اپ‌ها رخنه کرده و این اتفاق کم هم نمی‌افتد: اغلب سازندگان بدافزار روی خود گوگل‌پلی اپ را توسعه نداده و نشر نمی‌دهند؛ در عوض آرشیوهای آلوده‌ای از همین جنس که توضیح دادیم می‌سازند که در نهایت (به همراه سایر اپ‌های توسعه‌دهنده)راه خود را به فروشگاه گوگل‌پلی باز می‌کنند.

451 میلیون دانلود: آگهی‌های مینی‌گیم و جمع‌آوری داده

با بزرگ‌ترین مورد سال مقاله را به پایان می‌رسانیم: در ماه می 2023، تیمی از محققین 101 برنامه آلوده را در Google Play پیدا کردند که مجموعاً 421 میلیون بار دانلود شده بودند. در داخل هر یک از آنها بدافزاری به نام SpinOk پنهان شده بود.

اندکی پس از آن، تیم دیگری از محققین 92 برنامه دیگر را در Google Play کشف کردند که به همان SpinOk آلوده شده بودند، با تعداد دانلود کمی کمتر - 30 میلیون. در مجموع، تقریباً 200 برنامه آلوده با 451 میلیون بارگیری از Google Play پیدا شد. این مورد دیگری از آلوده شدن برنامه ها از طریق یک آرشیو مخرب است.

در ظاهر، کار اپ آلوده نمایش مینی‌گیم‌هایی مهاجم بود که وعده جایزه نقد می‌دادند اما اصلاً این نبود: در پس‌زمینه، این آرشیو مخرب سرگرم جمع کردن و ارسال داده کاربری و فایل به سرور فرمان و کنترل مهاجمین بود.

راهکارهای امنیتی

البته، ما همه موارد ورود برنامه‌های مخرب به Google Play در سال 2023 را پوشش نداده‌ایم - فقط چشم‌گیرترین آنها پرداختیم. نکته اصلی این پست این است: بدافزار در Google Play بسیار رایج‌تر از آن چیزی است که هر یک از ما فکر می‌کنیم – برنامه‌های آلوده مجموعاً بیش از نیم میلیارد دانلود دارند!

با این وجود، فروشگاه‌های رسمی تا حد زیادی امن‌ترین منابع هستند. دانلود برنامه‌ها از جاهای دیگر بسیار خطرناک‌تر است، به همین دلیل ما قویاً از انجام آن جلوگیری می‌کنیم. اما در فروشگاه های رسمی نیز باید احتیاط کنید:

•         هر بار که برنامه جدیدی را دانلود می‌کنید، صفحه آن را در فروشگاه به دقت بررسی کنید تا از واقعی بودن آن مطمئن شوید. به نام توسعه‌دهنده توجه ویژه ای داشته باشید. برای مجرمان سایبری غیرعادی نیست که برنامه های محبوب را شبیه‌سازی کنند و آنها را با نام ها، نمادها و توضیحات مشابه در Google Play قرار دهند تا کاربران را فریب دهند.
•         رتبه‌بندی کلی برنامه گولتان نزند، زیرا به راحتی قابل افزایش است. نظارت کاربری هم می‌تواند جعلی باشد. در عوض، روی بررسی‌های منفی با رتبه‌بندی پایین تمرکز کنید – اینجاست که معمولاً می‌توانید شرحی از تمام مشکلات برنامه را بیابید.
•         اطمینان حاصل کنید که یک محافظ قابل اعتماد روی همه دستگاه های اندرویدی خود نصب کرده اید، که در صورت تلاش یک تروجان به تلفن هوشمند یا تبلت شما هشدار قبلی می‌دهد.
•         در نسخه رایگان اپ  Kaspersky: Antivirus & VPN ما یادتان باشد به طور دستی هر از گاهی اسکن دستگاه انجام دهید و مطمئن شوید بعد از نصب هر اپ جدید و پیش از لانچ آن برای اولین بار اسکن آنتی‌ویروس را به کار ببرید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.