سازندگان بدافزار ابتدا برنامههای خود را بدون کدهای آلوده منتشر و پس از مدتی با ارائهی آپدیت، کدهای مخرب را به آن اضافه میکنند.
شرکت امنیت سایبری Kaspersky اعلام کرد مهاجمان با استفاده از تکنیکهای جدید و زیرکانه، برنامههای مخرب خود را در فروشگاه پلیاستور منتشر میکنند و موانع امنیتی گوگل را دور میزنند. طبق اعلام شرکت امنیتی، کاربران اندروید فقط در سال ۲۰۲۳ برنامههای مخرب را بیش از ۶۰۰ میلیونبار از فروشگاه پلیاستور دانلود کردهاند.
طبق اعلام Kaspersky، بیش از سه میلیون بدافزار در پلیاستور منتشر شده است و بههمیندلیل حتی شرکت بسیار بزرگی مثل گوگل توانایی بررسی کامل تکتک این اپلیکیشن ها را ندارد.
شرکت Kaspersky با انتشار پستی وبلاگی توضیح داد برنامههای مخرب چگونه روی گوشی اندروید نصب میشوند. اپلیکیشن iRecorder برای اولینبار در سپتامبر ۲۰۲۱ به پلیاستور اضافه شد و حدود ۱۱ ماه بعد آپدیت کد این برنامه، تروجانی به نام AhMyth را اضافه کرد که باعث میشود اپلیکیشن هر ۱۵ دقیقه صدا را با میکروفون گوشی کاربر ضبط و به سرور سازنده ارسال کند.
تا زمانی که iRecorder در می ۲۰۲۳ بهعنوان بدافزار شناخته شد، حدود ۵۰ هزار نفر آن را دانلود کرده بودند. داستان این اپلیکیشن نشان میدهد بدافزارها چگونه موانع امنیتی گوگل را دور میزنند. این نوع اپلیکیشنها ابتدا بهصورت کاملاً عادی و سالم فعالیت خود را آغاز میکنند و پس از مدتی با انتشار آپدیت حاوی بدافزار، دستگاه هزاران و حتی میلیونها کاربر را هدف قرار میدهند.
استراتژی دیگری که مجرمان سایبری از آن بهره میبرند، بازکردن چندین حساب توسعهدهنده در کنسول پلیاستور است تا درصورتیکه گوگل یکی از برنامههای حاوی بدافزار را حذف کرد، اپلیکیشن مشابه دیگری در فروشگاه برنامهی این شرکت آپلود کنند. بهعنوان مثال سه اپلیکیشن Beauty Slimming Photo Editor، Photo Effect Editor و GIF Camera Editor Pro درمجموع ۶۲۰ هزار بار دانلود شدهاند و همگی به تروجان Fleckpe آلوده بودند.
بدافزارها پس از نصب روی گوشی کاربر با اجرای کد مخرب، پنجرهی مرورگر مخفی روی آن باز میکنند که قابل مشاهده نیست. این مرورگر به سایتهایی هدایت میشود که اشتراکهای پولی ارائه میدهند و پس از رهگیری کدهای تأیید ارسالشده به گوشی کاربر، ازطریق اطلاعات حساب او که روی دستگاه ذخیره شده است، بهطور خودکار روی سرویسهای هدف ثبتنام میکنند.
Kaspersky میگوید بدافزاری به نام SpinOk فعالیت گستردهای داشت. حدود ۲۰۰ اپلیکیشن آلوده به این بدافزار بیش از ۴۵۱ میلیونبار دانلود شدند. برنامههای مذکور دادهای کاربر را جمعآوری و برای سازندگان خود ارسال میکردند درحالیکه ظاهر آنها کارکردی کاملاً متفاوت داشت.
یکی از اقدامات مهم برای جلوگیری از نصب بدافزار، مراجعه به بخش نظرات فروشگاه گوگلپلی است. در این قسمت به امتیازات خیلی بالا توجه نکنید زیرا این مورد هم میتواند جعلی باشد. بهترین کار مطالعهی نظرات منفی و دلیل آن است که از ماهیت واقعی اپلیکیشن خبر میدهند.
نظرات کاربران