دور زدن اسکنرهای گوگل پلی توسط اپلیکیشن های مخرب

  • ۰۹:۳۴
persian-cygle.ir

تکنیک جدید اپلیکیشن های مخرب برای دور زدن اسکنرهای Google Play

عوامل تهدید از تکنیکی به نام نسخه‌سازی برای فرار از شناسایی بدافزارهای فروشگاه Google Play و هدف قرار دادن کاربران اندروید استفاده می‌کنند.

تیم اقدام امنیت سایبری Google (GCAT) در گزارش آگوست 2023 Threat Horizons خود که با The Hacker News به اشتراک گذاشته شده است، گفت: کمپین هایی که از نسخه سازی استفاده می کنند معمولاً اعتبار، داده ها و امور مالی کاربران را هدف قرار می دهند.

در حالی که نسخه‌سازی پدیده جدیدی نیست، اما تشخیص آن سخت است. در این روش، یک توسعه‌دهنده نسخه اولیه یک برنامه را در فروشگاه Play منتشر می‌کند که بررسی‌های پیش از انتشار Google را رد می‌کند، اما بعداً با یک مؤلفه بدافزار به‌روزرسانی می‌شود.

این با فشار دادن یک به‌روزرسانی از یک سرور کنترل‌شده توسط مهاجم برای ارائه کدهای مخرب بر روی دستگاه کاربر نهایی با استفاده از روشی به نام بارگیری کد پویا (DCL) به دست می‌آید و به طور موثر برنامه را به یک درب پشتی تبدیل می‌کند.

در اوایل ماه مه امسال، ESET یک برنامه ضبط صفحه نمایش به نام “iRecorder – Screen Recorder” را کشف کرد که تقریباً یک سال پس از بارگذاری آن در Play Store قبل از اینکه تغییرات مخرب برای جاسوسی پنهانی از کاربرانش معرفی شود، بی ضرر باقی ماند.

نمونه دیگری از بدافزارهایی که از روش DCL استفاده می کنند، SharkBot است که بارها و بارها با مخفی شدن به عنوان برنامه های امنیتی و کاربردی در فروشگاه Play ظاهر شده است.

SharkBot یک تروجان مالی است که با استفاده از پروتکل Automated Transfer Service (ATS) انتقال پول غیرمجاز از دستگاه های در معرض خطر را آغاز می کند.

برنامه‌های Dropper که در ویترین فروشگاه ظاهر می‌شوند با عملکردی کاهش‌یافته عرضه می‌شوند که پس از نصب توسط قربانیان، نسخه کامل بدافزار را دانلود می‌کنند تا توجه کمتری را به خود جلب کنند.

در یک محیط سازمانی، نسخه‌سازی نیاز به اصول دفاعی عمیق را نشان می‌دهد، از جمله محدود کردن منابع نصب برنامه‌ها به منابع قابل اعتماد مانند Google Play یا مدیریت دستگاه‌های شرکتی از طریق پلتفرم مدیریت دستگاه تلفن همراه (MDM)، اما نه محدود به آن. شرکت گفت.

طبق گفته KrebsOnSecurity، ThreatFabric نشان داد که تامین‌کنندگان بدافزار از یک باگ در اندروید برای حذف برنامه‌های مخرب به‌عنوان بی‌خطر با «تخریب مؤلفه‌های یک برنامه» استفاده می‌کنند، به طوری که برنامه به طور کلی معتبر باقی می‌ماند.

این شرکت امنیت سایبری هلندی در ماه ژوئن خاطرنشان کرد: «بازیگران می‌توانند همزمان چندین برنامه را در فروشگاه تحت حساب‌های توسعه‌دهنده مختلف منتشر کنند، با این حال، تنها یکی به عنوان مخرب عمل می‌کند، در حالی که دیگری یک نسخه پشتیبان برای استفاده پس از حذف است».

چنین تاکتیکی به بازیگران کمک می‌کند تا کمپین‌های بسیار طولانی را حفظ کنند و زمان لازم برای انتشار یک قطره چکان و ادامه کمپین توزیع را به حداقل برسانند.»

برای کاهش خطرات احتمالی، توصیه می‌شود که کاربران Android برای دانلود برنامه‌ها به منابع قابل اعتماد پایبند باشند و Google Play Protect را فعال کنند تا در صورت یافتن یک برنامه بالقوه مضر (PHA) در دستگاه، اعلان‌ها را دریافت کند.

منبع خبر

دلیل بازگشت وجه