نحوه نفوذ بدافزارها به Google Play
Google درباره شیوه مرسومی که بدافزارها به Google Play راه مییابند، توضیحاتی را ارائه کرد.
تیم امنیتی Google، از یک تاکتیک رایج با نام نسخهسازی نام می برد که هکرها از طریق آن میتوانند فرایند بررسی و کنترلهای امنیتی Google Play را دور بزنند و بدافزارها را وارد دستگاههای اندرویدی کاربران کنند.
طبق گزارش BleepingComputer، در این تکنیک هکرها یا از طریق بهروزرسانیهای برنامههای از قبل نصبشده یا بارگیری کدهای مخرب از سرورهای تحت کنترل خود به انتشار بدافزار میپردازند.
Google توضیح میدهد: یکی از راههایی که هکرها تلاش میکنند از طریق آن کنترلهای امنیتی Google Play را دور بزنند، نسخهسازی است. نسخهسازی زمانی اتفاق میافتد که یک توسعهدهنده نسخه اولیه برنامهای را در Google Play منتشر کرده و همه چیز قانونی بهنظر میرسد و بررسیهای ما آن را تأیید کردهاند. اما یک بهروزرسانی از سوی سرور شخص ثالث دریافت میکند که کد دستگاه کاربر نهایی را تغییر میدهد و فعالیتهای مخرب خود را فعال میکند.
Google در ادامه اشاره میکند برنامههایی که درگیر چنین فعالیتهایی هستند، خط مشی رفتار فریبنده Google Play را نقض میکنند و میتوان آنها را بهعنوان درِ پشتی (Backdoor) برچسبگذاری کرد.
طبق دستورالعملهای فعلی Google Play، برنامههایی که از طریق این سرویس منتشر میشوند، نمیتوانند با استفاده از هر روشی غیر از مکانیسم رسمی بهروزرسانی ارائهشده توسط Google، برنامه خود را تغییر، جایگزین یا بهروزرسانی کنند. همچنین این برنامهها از دانلود کدهای اجرایی (مانند فایلهای dex ،JAR یا so.) از منابع خارجی منع شدهاند.
Google همچنین به یک نوع خاص از بدافزار با نام SharkBot اشاره کرده است که اولینبار در سال 2021 توسط تیم اطلاعاتی Cleafy کشف شد و آنها نیز از همین تکنیک استفاده میکنند. SharkBot یک بدافزار بانکی است که پس از نفوذ به دستگاههای اندرویدی، از طریق پروتکل سرویس انتقال خودکار (ATS)، بهطور غیرمجاز انتقال پول انجام میدهد.
هکرهای مسئول SharkBot برای مخفیکردن ماهیت مشکوک برنامههای خود از استراتژی انتشار نسخههایی با عملکرد محدود در Google Play استفاده میکنند. بااینحال، زمانی که کاربر نسخه دارای تروجان برنامه را دانلود میکند، نسخه کامل بدافزار توسط او دریافت میشود.
منبع:
