بدافزارهای اندروید راهکاری برای دور زدن سیستم امنیتی پیدا کردهاند
برنامههای مخرب یکی از نگرانیهای فزایندهی گوشیهای اندروید بوده است. اگرچه گوگل اقدامات ارزشمندی برای مبارزه با گسترش بدافزار در سیستمعامل موبایلی خود انجام داده اما هکرها همیشه راهکارهای جدیدی برای عبور از موانع امنیتی پیدا میکنند و این بار از روش فشردهسازی مخفی APK برای دورزدن قابلیتهای امنیتی اندروید بهره گرفتهاند.
بدافزارها با فشردهسازی APK میتوانند خود را از اقدامات امنیتی اندروید پنهان کنند. نکتهی نگرانکننده این است که حتی بهترین انواع آنتی ویروس نیز نمیتوانند این برنامههای مخرب را شناسایی کنند. البته خبر خوبی هم وجود دارد، زیرا مقابله با چنین بدافزارهایی نسبتاً آسان است.
تکنیک جدید بدافزارها برای عبور از موانع امنیتی اندروید
Zimperium روش جدیدی را کشف کرده که هکرها از آن برای جلوگیری از شناسایی بدافزار در گوشی اندروید بهره میبرند. Zimperium شرکت امنیتی گوشیهای هوشمند است که در شناسایی و حذف بدافزار از فروشگاه گوگلپلی تخصص دارد.
روش فشردهسازی جدید، APK را در قالب فایلهایی بستهبندی میکند که میتوان از آنها برای نصب و توزیع برنامهها ازطریق اکوسیستم اندروید استفاده کرد. این برنامههای مخرب دربرابر دیکامپایل (Decompilation) کدها نیز مقاومت میکنند. دیکامپایل به فرایندی گفته میشود که سیستمهای امنیتی و نرمافزارهای آنتیویروس از آن برای پرچمگذاری کدهای مشکوک بهره میبرند.
بدافزارهای جدید از نظر فنی از الگوریتمهای فشردهسازی بهشدت دستکاریشده یا پشتیبانینشده استفاده میکنند. از آنجا که تاکتیک مذکور برای برنامههای امنیتی شناختهشده نیست، درنتیجه به بدافزارهای اندروید اجازه میدهد مثل اپلیکیشنهای معمولی کار کنند و همهی اقدامات امنیتی را دور بزنند.
درحالحاضر وضعیت چقدر بد است؟
طبق اعلام Zimperium، این شرکت ۳۳۰۰ برنامهی مخرب را که از تکنیک فشردهسازی APK بهره میبرند، شناسایی کرده است. در این میان ۷۱ بدافزار روی سیستمعامل اندروید ۹ و جدیدتر بدون مشکل کار میکنند.
گزارش Joe Security نیز نشان میدهد فایل APK چگونه میتواند فرایند تجزیهوتحلیل بدافزار را دور بزند و بهطور یکپارچه روی دستگاههای اندروید اجرا شود. این شرکت امنیتی سوئیسی در زمینهی تجزیهوتحلیل عمیق بدافزارها در لینوکس، اندروید و macOS تخصص دارد.
Zimperium هیچ مدرکی مبنیبر وجود بدافزار در فروشگاه گوگلپلی ارائه نداد. بهعبارت دیگر هیچیک از ۳۳۰۰ فایل APK که این شرکت شناسایی کرده در فروشگاه رسمی اندروید منتشر نشدهاند و این یعنی برنامهها ازطریق روشهای غیررسمی دردسترس کاربران قرار گرفتهاند.
اندروید به فروشگاههای برنامهی شخصثالث اجازه میدهد اپلیکیشنها را بدون نیاز به گوگلپلی نصب کنند و درواقع سایدلود برنامهها، عملیاتی رایج در دنیای اندروید محسوب میشود. اگرچه گوگل لایهی امنیتی مخصوصی برای جلوگیری از بارگذاری جانبی ارائه میدهد اما میتوان آن را بهراحتی خاموش کرد. منظور ما از این لایهی امنیتی، قابلیت نصب برنامهها از منابع ناشناس (Install apps from unknown sources) است.
درحالیکه بارگذاری جانبی برنامهها در اندروید، بسیار کاربردی و البته قانونی است، اما هکرها همیشه از این ویژگی سوءاستفاده کردهاند.
درمقابل بدافزارهای جدید اندروید چه کاری انجام دهیم؟
برای ایمن نگهداشتن خود دربرابر بدافزارهای جدید اندروید میتوانید اقدامات احتیاطی مختلفی انجام دهید. اول اینکه باید از بارگذاری جانبی اپلیکیشنها خودداری کنید.
اگر راهی غیر از سایدلود برای نصب برنامهی موردنظرتان ندارید، فایل APK آن را از منابع معتبر دانلود کنید. توصیه میشود برای دانلود و نصب برنامهها همیشه از فروشگاه گوگلپلی، گلکسی استور یا آمازون استور استفاده کنید.
اقدام دیگر، نصب برنامهی آنتیویروس خوب روی گوشی اندروید است. اگرچه بسیاری از بدافزارها حتی از سد اپلیکیشنهای آنتیویروس عبور میکنند اما بانک اطلاعات این برنامههای امنیتی پس از شناسایی روشهای جدید هک بهروزرسانی میشود تا بتوانند جدیدترین راهکارهای هکرها را نیز تشخیص دهند.