بیش از 600 میلیون بار دانلود بدافزار از گوگل‌پلی در سال 2023

کاربران تلفن‌های هوشمند فکر می‌کنند که نصب اپلیکیشن ‌های مورد نیازشان از گوگل‌پلی امن‌تر بوده و این سرویس، رسمی‌ترین فروشگاه‌ آنلاین اندروید می‌باشد و همه اپلیکیشن‌هایی که در آن وجود دارند، توسط کارمندان گوگل مانیتورینگ و نظارت می‌شوند. شما هم اینطور فکر می‌کنید؟ در نظر داشته باشید که گوگل‌پلی خانه بیش از 3 میلیون اپلیکیشن منحصر به فرد است که بیشترشان مرتباً آپدیت می‌شوند؛ اما نظارت روی همه آن‌ها به‌صورت دائم و همزمان، از عهده هیچ سازمان بزرگی در جهان برنمی‌آید. پس خوب به این حقیقت آگاه باشید که سازندگان اپلیکیشن‌های مخرب کلی تکنیک در آستین دارند که می‌شود با آن‌ها حتی گوگل‌پلی را خام کرد. در این مقاله نگاهی بر چشمگیرترین اخبار 2023 در مورد اپلیکیشن‌های مخرب در فروشگاه رسمی اندروید (گوگل‌پلی) که جمعاً بیش از 600 میلیون بار دانلود شده‌اند، خواهیم داشت. با ما همراه باشید!

50 هزار دانلود: اپلیکیشن آلوده‌ iRecorder که بر روی کاربران خود استراق سمع انجام می‌داد

این اپلیکیشن؛ با ضبط اسکرین بر روی اسمارت‌فون‌های اندرویدی سپتامبر 2021 در گوگل‌پلی آپلود شد. اما آگوست 2022 توسعه‌دهندگان آن یک سری ویژگی‌های مخرب به آن اضافه کردند: کدهایی از تروجان دسترسی ریموت به نام AhMyth که باعث شد اسمارت‌فون همه کاربرانی که اپلیکشین را نصب کرده بودند هر 15 دقیقه یکبار صدا را از میکروفون ضبط کند و آن را به سرور سازندگان اپ ارسال کند. هنگامی که محققین این مسئله را در ماه می 2023 متوجه شدند، اپلیکیشن iRecorder بیش از 50 هزار بار دانلود شده بود. این نمونه نشان‌دهنده یکی از راه‌هایی است که در آن، اپلیکیشن‌های مخرب می‌توانند به داخل گوگل‌پلی وارد شوند. ابتدا مجرمان سایبری اپلیکیشن بدون باگ را در فروشگاه آپلود می‌کنند؛ که همه بررسی‌های لازم بر روی آن انجام شده است. سپس وقتی اپ مخاطب خودش را بدست آورد و کمی محبوب شد (که می‌تواند ماه‌ها یا حتی سال‌ها طول بکشد) یک قابلیت مخرب در آپدیت بعدی‌اش اضافه شده و در گوگل‌پلی آپلود خواهد شد.

620 هزار دانلود: تروجان عضویت Fleckpe

همچنین در ماه می 2023 متخصصین ما چندین اپلیکیشن را بر روی گوگل‌پلی پیدا کردند که با تروجان عضویت Fleckpe آلوده شده بودند. که تا آن زمان حدود 620 هزار بار نصب شده و جالب است بدانید که این اپلیکیشن‌ها توسط توسعه‌دهندگان مختلف آپلود شده بودند. تاکتیک دیگر را بگوییم؟ مجرمان سایبری در این فروشگاه اکانت‌های توسعه‌دهنده مختلفی می‌سازند تا حتی اگر در فرایند بارگذاری و چک آن، یکی را بلاک کردند آن‌ها بتوانند سریع اپ مشابهی را در اکانت دیگری آپلود کنند.

هنگامی که اپلیکیشن آلوده اجرا و پی‌لود مخرب اصلی آن در اسمارت‌فون قربانی دانلود می‌شود، تروجان به سرور فرمان و کنترل وصل می‌گردد. با توجه به این اطلاعات، سرور دستورالعمل‌هایی برای چگونه ادامه دادن روند ارائه می‌دهد. سپس Fleckpe با عضویت‌هایی پولی در پنجره مرورگر که از چشم کاربر پنهان است، وب‌پیج‌هایی را باز کرده و با رهگیری کدهای تأیید از سوی نوتیف‌های دریافتی و حساب اپراتور تلفن‌همراه، کاربر را در سرویس‌های پولی عضو می‌نماید.

1.5 میلیون دانلود: جاسوس‌افزار چینی

جولای 2023، گوگل‌پلی میزبان دو فایل منیجر (یکی با یک میلیون دانلود و دیگری نیم‌میلیون) بود. علی‌رغم تضمین‌هایی که توسعه‌دهنده داده بود (که اپ هیچ اطلاعاتی را قرار نیست جمع کند)؛ محققین دریافتند که هر دو فایل منیجر تعداد زیادی از داده‌های کاربران را به سرورهایی در چین انتقال می‌دادند. این اطلاعات شامل کانتکت‌ها، ژئولوکیسن در لحظه، داده‌هایی در مورد مدل و شبکه تلفن‌همراه گوشی، عکس‌ها، صوت و فایل ویدیویی و ... می‌شد.

2.5 میلیون دانلود: آگهی‌افزار پس‌زمینه

جدیدترین نمونه‌های کشف‌شده در گوگل‌پلی برای ماه آگوست 2023 می‌باشد که محققین 43 اپلیکیشن مخرب را شناسایی کرده‌اند. از میان آن‌ها می‌توان به TV/DMB Player, Music Downloader, News و Calendar اشاره کرد که این اپلیکیشن‌ها بصورت مخفیانه آگهی‌هایی را در هنگامی که اسکرین اسمارت‌فون‌ کاربر خاموش بود، لود می‌کردند. اپلیکیشن‌ها برای اینکه کار خود را در پس‌زمینه انجام دهند از کاربر می خواستند آن‌ها را به فهرست استثناهای صرفه‌جویی انرژی اضافه کنند. طبیعتاً کاربران آلوده‌شده با خالی شدن باتری مواجه می‌شدند. این اپ‌ها جمعاً 2.5 میلیون دانلود را رقم زدند و مخاطب هدف هم شهروندان کره‌ای‌ بودند.

20 میلیون دانلود: اپ‌های اسکمی با وعده‌ جایزه

مقاله چاپ‌شده در اوایل سال 2023 نشان می‌دهد اپلیکیشن‌های مرموزی روی گوگل‌پلی می‌باشند که در بین آن‌ها مواردی با بیش از 20 میلیون دانلود دیده می‌شود. اغلب آن‌ها ردیاب‌های سلامتی بوده و به کاربر وعده داده بودند که اگر پیاده‌روی کند یا یک سری کارهای مربوط به سلامتی انجام دهد، جایزه نقد دریافت می‌کنند (همچنین از آن‌ها خواسته شده بود اپ‌های دیگر را نصب یا آگهی تماشا کنند). به‌طور دقیق‌تر، به کاربر برای این اقدامات امتیازی تعلق می‌گرفت که ظاهراً می‌توانست آن را به پول واقعی تبدیل کند. تنها مشکل این بود که برای دریافت جایزه، باید آنقدر امتیاز جمع می‌کردید که عملاً غیرممکن بود.

35 میلیون دانلود: شبیه‌سازهای ماینکرفت با آگهی‌افزارهایی در درون خود!

در سال جاری؛ گوگل‌پلی میزبان گیم‌های آلوده هم شد و سردرمدار مجرمان در این بخش (که البته بار اولشان هم نبود) ماینکرفت می‌باشد. این بازی هنوز هم در جهان محبوب‌ترین است. در آوریل سال 2023 تعداد 38 شبیه‌ساز ماینکرفتی در فروشگاه رسمی اندروید شناسایی شدند (جمعاً 35 میلیون دانلود). داخل این اپلیکیشن‌ها آگهی‌افزاری به نام HiddenAds قرار داشت.

وقتی اپ‌های آلوده لانچ شدند، بدون اینکه کاربر خودش بداند، آگهی‌های پنهانی را نمایش می‌دادند. شاید به خودی خود این تهدید جدی‌ای نباشد، اما چنین رفتاری می‌تواند عملکرد دستگاه و عمر باتری را هدف قرار دهد. اپلیکیشن‌های آلوده همیشه بعداً در ادامه طرح‌های درآمدزایی ضرر کمتر را به همراه خواهند داشت. این هم تاکتیک استاندارد دیگر برای سازندگان اپ بدافزار اندرویدی است: آن‌ها بین انواع مختلف فعالیت‌های مخرب –بسته به اینکه در لحظه کدام بخش برایشان سود بیشتری دارد- سوئیچ می‌کنند.

100 میلیون دانلود: جمع‌آوری داده و کلاهبرداری کلیک

همچنین آوریل 2023 تعداد 60 اپلیکیشن دیگر در گوگل‌پلی پیدا شد که آلوده به آگهی‌افزاری به نام Goldoson بودند. این اپ‌ها جمعاً بیش از 100 میلیون بار در گوگل‌پلی و بعد از آن 8 میلیون بار هم در فروشگاه معروف کره‌ای به نام ONE دانلود شدند. این بدافزار همچنین با باز کردن وب‌پیج‌های داخل اپ در پس‌زمینه، آگهی‌های مخفی را نشان می‌داد. افزون بر این، ا‌پلیکیشن های مخرب داده‌های کاربران را جمع می‌کردند (شامل اطلاعاتی در مورد اپ‌های نصب‌شده، ژئولوکیشن، آدرس‌ دستگاه‌های متصل به اسمارت‌فون‌ از طریق وای‌فای و بلوتوث و ...). به نظر می‌رسد همراه با آرشیو مخرب که خیلی از توسعه‌دهندگان قانونی استفاده می‌کنند؛ به همه این اپلیکیشن‌ها نفوذ کرده و این اتفاق کم هم نمی‌افتد: اغلب سازندگان بدافزار گوگل‌پلی اپ را توسعه نداده و نشر نمی‌دهند؛ در عوض آرشیوهای آلوده‌ای از همین جنس که توضیح دادیم می‌سازند که در نهایت (به همراه سایر اپلیکیشن‌های توسعه‌دهنده) راه خود را به فروشگاه گوگل‌پلی باز می‌کنند.

451 میلیون دانلود: آگهی‌های مینی‌گیم و جمع‌آوری داده

در ماه می 2023، تیمی از محققین 101 برنامه آلوده را در Google Play پیدا کردند که مجموعاً 421 میلیون بار دانلود شده بودند. در داخل هر یک از آنها بدافزاری به نام SpinOk پنهان شده بود.

اندکی پس از آن، تیم دیگری از محققین 92 برنامه دیگر را در Google Play کشف کردند که به همان SpinOk آلوده شده بودند، با تعداد دانلود کمی کمتر - 30 میلیون. در مجموع، تقریباً 200 برنامه آلوده با 451 میلیون بارگیری از Google Play پیدا شد. این مورد دیگری از آلوده شدن برنامه ها از طریق یک آرشیو مخرب است.

در ظاهر، کار اپ آلوده نمایش مینی‌گیم‌هایی مهاجم بود که وعده جایزه نقد می‌دادند اما اصلاً این نبود: در پس‌زمینه، این آرشیو مخرب سرگرم جمع کردن و ارسال داده کاربری و فایل به سرور فرمان و کنترل مهاجمین بود.

راهکارهای امنیتی

البته، ما همه موارد ورود برنامه‌های مخرب به Google Play در سال 2023 را پوشش نداده‌ایم و فقط به بیان چشم‌گیرترین آنها پرداخته‌ایم. نکته اصلی این مقاله؛ این می‌باشد که: بدافزارها در Google Play بسیار رایج‌تر از آن چیزی می‌باشند که هر یک از ما فکر می‌کنیم – برنامه‌های آلوده مجموعاً بیش از نیم میلیارد دانلود دارند! با این وجود، فروشگاه‌های رسمی تا حد زیادی امن‌ترین منابع هستند. دانلود برنامه‌ها از جاهای دیگر بسیار خطرناک‌تر است، به همین دلیل بطور جدی از انجام آن باید اجتناب نمود. اما در فروشگاه‌های رسمی نیز باید احتیاط کنید:

• هر بار که برنامه جدیدی را دانلود می‌کنید، صفحه آن را در فروشگاه به دقت بررسی کنید تا از واقعی بودن آن مطمئن شوید. به نام توسعه‌دهنده توجه ویژه‌ای داشته باشید. برای مجرمان سایبری غیرعادی نیست که برنامه های محبوب را شبیه‌سازی کنند و آنها را با نام‌ها، نمادها و توضیحات مشابه در Google Play قرار دهند تا کاربران را فریب دهند.

• رتبه‌بندی کلی برنامه گولتان نزند، زیرا به‌راحتی قابل افزایش است. نظارت کاربری هم می‌تواند جعلی باشد. در عوض، روی بررسی‌های منفی با رتبه‌بندی پایین تمرکز کنید – اینجاست که معمولاً می‌توانید شرحی از تمام مشکلات برنامه را بیابید.

• اطمینان حاصل کنید که یک محافظ قابل اعتماد روی همه دستگاه‌های اندرویدی خود نصب کرده‌اید، که در صورت تلاش یک تروجان به تلفن هوشمند یا تبلت شما هشدار قبلی می‌دهد.

• در نسخه رایگان اپلیکیشن Kaspersky: Antivirus & VPN، یادتان باشد به طور دستی هر از گاهی اسکن دستگاه انجام دهید و مطمئن شوید بعد از نصب هر اپ جدید و پیش از لانچ آن برای اولین بار اسکن آنتی‌ویروس را به کار ببرید.