عوامل تهدید از تکنیکی به نام نسخهسازی برای فرار از شناسایی بدافزارهای فروشگاه Google Play و هدف قرار دادن کاربران اندروید استفاده میکنند.
تیم اقدام امنیت سایبری Google (GCAT) در گزارش آگوست 2023 Threat Horizons خود که با The Hacker News به اشتراک گذاشته شده است، گفت: کمپین هایی که از نسخه سازی استفاده می کنند معمولاً اعتبار، داده ها و امور مالی کاربران را هدف قرار می دهند.
در حالی که نسخهسازی پدیده جدیدی نیست، اما تشخیص آن سخت است. در این روش، یک توسعهدهنده نسخه اولیه یک برنامه را در فروشگاه Play منتشر میکند که بررسیهای پیش از انتشار Google را رد میکند، اما بعداً با یک مؤلفه بدافزار بهروزرسانی میشود.
این با فشار دادن یک بهروزرسانی از یک سرور کنترلشده توسط مهاجم برای ارائه کدهای مخرب بر روی دستگاه کاربر نهایی با استفاده از روشی به نام بارگیری کد پویا (DCL) به دست میآید و به طور موثر برنامه را به یک درب پشتی تبدیل میکند.
در اوایل ماه مه امسال، ESET یک برنامه ضبط صفحه نمایش به نام “iRecorder – Screen Recorder” را کشف کرد که تقریباً یک سال پس از بارگذاری آن در Play Store قبل از اینکه تغییرات مخرب برای جاسوسی پنهانی از کاربرانش معرفی شود، بی ضرر باقی ماند.
نمونه دیگری از بدافزارهایی که از روش DCL استفاده می کنند، SharkBot است که بارها و بارها با مخفی شدن به عنوان برنامه های امنیتی و کاربردی در فروشگاه Play ظاهر شده است.
SharkBot یک تروجان مالی است که با استفاده از پروتکل Automated Transfer Service (ATS) انتقال پول غیرمجاز از دستگاه های در معرض خطر را آغاز می کند.
برنامههای Dropper که در ویترین فروشگاه ظاهر میشوند با عملکردی کاهشیافته عرضه میشوند که پس از نصب توسط قربانیان، نسخه کامل بدافزار را دانلود میکنند تا توجه کمتری را به خود جلب کنند.
در یک محیط سازمانی، نسخهسازی نیاز به اصول دفاعی عمیق را نشان میدهد، از جمله محدود کردن منابع نصب برنامهها به منابع قابل اعتماد مانند Google Play یا مدیریت دستگاههای شرکتی از طریق پلتفرم مدیریت دستگاه تلفن همراه (MDM)، اما نه محدود به آن. شرکت گفت.
طبق گفته KrebsOnSecurity، ThreatFabric نشان داد که تامینکنندگان بدافزار از یک باگ در اندروید برای حذف برنامههای مخرب بهعنوان بیخطر با «تخریب مؤلفههای یک برنامه» استفاده میکنند، به طوری که برنامه به طور کلی معتبر باقی میماند.
این شرکت امنیت سایبری هلندی در ماه ژوئن خاطرنشان کرد: «بازیگران میتوانند همزمان چندین برنامه را در فروشگاه تحت حسابهای توسعهدهنده مختلف منتشر کنند، با این حال، تنها یکی به عنوان مخرب عمل میکند، در حالی که دیگری یک نسخه پشتیبان برای استفاده پس از حذف است».
چنین تاکتیکی به بازیگران کمک میکند تا کمپینهای بسیار طولانی را حفظ کنند و زمان لازم برای انتشار یک قطره چکان و ادامه کمپین توزیع را به حداقل برسانند.»
برای کاهش خطرات احتمالی، توصیه میشود که کاربران Android برای دانلود برنامهها به منابع قابل اعتماد پایبند باشند و Google Play Protect را فعال کنند تا در صورت یافتن یک برنامه بالقوه مضر (PHA) در دستگاه، اعلانها را دریافت کند.