گزارش ماهر در خصوص رفتار مخرب بازیهای اندرویدی دارای شبیهساز
بازیهای قدیمی کنسول، دستهای از برنامکهای موجود در فروشگاههای اندرویدی هستند که به دلیل خاطرهانگیز بودن آنها در بین کاربران دستگاههای با این سیستم عامل طرفداران زیادی دارد. برای اجرای این بازیهای قدیمی در محیط اندروید نیاز است تا یک شبیهسازی مورد استفاده قرار بگیرد. این فایل شبیهساز اغلب در فایل نصبی برنامک (APK) قرار دارد؛ بهنحوی که پس از نصب از کاربر خواسته میشود تا برنامه شبیهساز را نصب نماید. با تایید کاربر، فایل ثانویه شبیهساز بر روی دستگاه نصب شده و کاربر میتواند بازی کنسول را بر روی دستگاه اندرویدی خود اجرا کند. متاسفانه همین فرایند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سوءاستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.
از آنجا که در اغلب این برنامکها، فایل مربوط به شبیهساز، بدون پسوند APK در پوشههای جانبی برنامه اصلی قرار داده شده است؛ در بررسیهای امنیتی برنامک، توسط فروشگاههای اندرویدی به وجود چنین فایلی توجه نشده و عملا فایل شبیهساز مورد بررسی قرار نمیگیرد. در مجوزهای نمایش داده شده در فروشگاههای اندرویدی نیز، تنها به مجوزهای مورد نیاز فایل اولیه اشاره میشود. اشکالی که مهاجم با بهرهجویی از آن میتواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامهای سالم در فروشگاه اندرویدی منتشر سازد.
علاوه بر این، فایل شبیهساز پس از نصب، خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. حتی با حذف برنامه اصلی نیز، فایل شبیهساز همچنان فعال باقی میماند.
رفتار مخرب مربوط به این برنامکها که عموما ساختاری یکسان و تکراری دارند را میتوان به سه دسته تقسیم کرد:
- استفاده از سرویسهای تبلیغاتی، علاوه بر سرویسهای تبلیغاتی موجود روی برنامه اصلی
- دریافت و نصب برنامکهای بالقوه مخرب دیگر (نظیر بدافزار یا برنامک دارای سرویسهای ارزش افزوده)
- جاسوسی و ارسال اطلاعات کاربر به مهاجم
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) در گزارشی به بررسی رفتار مخرب ۳۰۰ برنامک بازی تحت سیستم عامل اندروید از سه توسعهدهنده که جمعا حدود صدهزار نصب فعال دارند پرداخته که در لینک زیر قابل دریافت و مطالعه است:
