معرفی یک بدافزار مخرب و جدید در اندروید

در حالی که گوگل تلاش‌های جدی برای مقابله با گسترش برنامه‌های بدافزار(malware) اندروید انجام داده است، هکرها همواره راه‌های جدیدی برای فرار از تدابیر امنیتی پیدا می‌کنند.

به گزارش تکناک، در جدیدترین اتفاق این بار، آنها از روش فشرده‌سازی APK پنهان برای نفوذ استفاده می‌کنند.

با استفاده از فشرده‌سازی APK، برنامه‌های بدافزار اندروید می‌توانند خود را از تدابیر امنیتی داخلی اندروید پنهان کنند و چیزی که نگران‌کننده‌تر است، آنها حتی می‌توانند خود را از بهترین برنامه‌های ضد ویروس نیز پنهان کنند. اما خبر خوب این است که بسیار آسان است که خود را از این برنامه‌های پنهان محافظت کنید.

Zimperium یک روش جدیدی را کشف کرده است که هکرها برای نگه‌داشتن برنامه‌های مخرب بدون تشخیص در تلفن‌های اندروید استفاده می‌کنند. و اگر نمی‌دانید Zimperium چه کسی است، یک شرکت امنیتی موبایل است که به شناسایی و از بین بردن برنامه‌های مخرب از فروشگاه گوگل پلی متعهد است.

این روش فشرده‌سازی APK، فایل‌هایی را بسته‌بندی می‌کند که می‌تواند برای نصب و توزیع برنامه‌ها از طریق اکوسیستم اندروید استفاده شود. این برنامه‌های مخرب می‌توانند در برابر خارج کردن اطلاعات برنامه مقاومت کنند. در اینجا، خارج کردن اطلاعات برنامه یا “decompilation” فرآیندی است که توسط سیستم‌های امنیتی و نرم‌افزارهای ضد ویروس برای شناسایی کدهای مشکوک استفاده می‌شود.

به زبان فنی، این برنامه‌های مخرب جدید از الگوریتم‌های فشرده‌سازی بسیار تغییر یافته یا بدون پشتیبانی استفاده می‌کنند و با توجه به اینکه این تاکتیک به طور قابل توجهی برای برنامه‌های امنیتی ناشناخته است، به برنامه‌های بدافزار اندروید اجازه می‌دهد تا مانند برنامه‌های عادی عمل کنند. این به آنها امکان می‌دهد که تمام تدابیر امنیتی را دور بزنند.

وضعیت چقدر بد است؟

به گفته Zimperium، این شرکت تاکنون ۳۳۰۰ برنامه مخرب مختلف را با استفاده از تکنیک فشرده‌سازی APK شناسایی کرده است. از این تعداد، ۷۱ نمونه به طور کامل بر روی سیستم عامل اندروید نسخه ۹ و بالاتر کار می‌کنند. Zimperium پس از انتشار گزارشی توسط جو سکیوریتی (Joe Security) شروع به بررسی این موضوع کرد.

این گزارش نشان داد که یک فایل APK چگونه می‌تواند فرآیند تجزیه و تحلیل برنامه‌های مخرب را دور زده و به‌سادگی بر روی دستگاه‌های اندروید اجرا شود. برای کسانی که آگاهی ندارند، جو سکیوریتی (Joe Security) یک شرکت سوئیسی است که در زمینه تجزیه و تحلیل عمیق برنامه‌های مخرب برای سیستم‌عامل‌های لینوکس، اندروید و مک‌اواس فعالیت می‌کند.

با توجه به گزارش اخیر Zimperium، هیچ شواهدی نیست که این برنامه‌های مخرب در هر زمانی در فروشگاه گوگل پلی وجود داشته باشند. به عبارت دیگر، هیچ یک از ۳۳۰۰ فایل APK مشکوک در فروشگاه گوگل پلی موجود نیستند. به طور کلی، این بدان معناست که این برنامه‌ها از طریق روش‌های جایگزین توزیع شده‌اند.

روش‌های جایگزین می‌توانند فروشگاه‌های برنامه‌های نرم‌افزاری شخص ثالث باشند که به شما امکان نصب برنامه‌ها را بدون استفاده از فروشگاه گوگل پلی می‌دهند. نصب برنامه‌ها از طریق فایل (سایدلود)، یک شیوه رایج در دنیای اندروید است. و در حالی که گوگل یک لایه امنیتی برای جلوگیری از انتقال فایل اضافه می‌کند، آسان است که این لایه امنیتی غیرفعال شود. بله، درباره گزینه “نصب برنامه‌ها از منابع ناشناخته” صحبت می‌کنیم.

در حالی که بارگذاری جانبی برنامه های اندروید از منابع غیررسمی در تلفن دارای موارد استفاده قانونی است، اما هکرها همیشه از این ویژگی سوء استفاده کرده‌اند. و برایمان تعجب آور نبود که برنامه‌های مخرب جدید اندروید در واقع از طریق همان روش در حال گسترش هستند.

چه کاری باید انجام دهید؟

شما می‌توانید با اتخاذ چند اقدام از خود در برابر برنامه‌های مخرب جدید اندروید محافظت کنید. اولاً، باید از نصب برنامه‌ها از منابع غیررسمی اجتناب کنید. در موارد بسیار کمی وجود دارد که نصب برنامه‌ها از طریق منابع غیررسمی به طور مطلق ضروری است.

برای آن موارد، مطمئن شوید که برنامه را از منبع قابل اعتمادی دریافت می‌کنید. اما برای سایر موارد، همیشه به فروشگاه‌های رسمی برنامه‌ها برای دریافت برنامه‌ها بر روی تلفن خود اتکا کنید. به عنوان مثال، فروشگاه گوگل پلی، فروشگاه برنامه‌های سامسونگ و فروشگاه برنامه‌های آمازون.

دوماً، باید یک نرم‌افزار ضد ویروس قوی را بر روی تلفن خود نصب نگه دارید. بله، گاهی اوقات برنامه‌های مخرب اندروید از محدوده تشخیص این نرم‌افزارهای ضد ویروس عبور می‌کنند. اما با این حال، بیشتر نرم‌افزارهای ضد ویروس خوب، هنگامی که تکنیک‌های جدید برای برنامه‌های مخرب پیدا می‌شوند هرچه سریعتر مکانیزم اسکن خود را به روز می‌کنند.