//
کد خبر: 416034

گوگل

بدافزارها چگونه به گوگل پلی نفوذ می‌کنند؟ گوگل پاسخ می‌دهد

در این روش هکرها با ساخت نسخه‌های متفاوت از برنامه‌های قانونی، کنترل‌های امنیتی گوگل پلی را دور می‌زنند و بدافزار خود را منتشر می‌کنند.

تیم امنیتی گوگل به توضیح یک تاکتیک رایج با نام نسخه‌سازی پرداخته است که هکرها از طریق آن می‌توانند فرایند بررسی و کنترل‌های امنیتی گوگل پلی را دور بزنند و بدافزارها را وارد دستگاه‌های اندرویدی کاربران کنند.

طبق گزارش BleepingComputer، در این تکنیک هکرها یا از طریق به‌روزرسانی‌های برنامه‌های از قبل نصب‌شده یا بارگیری کدهای مخرب از سرورهای تحت کنترل خود به انتشار بدافزار می‌پردازند. گوگل توضیح می‌دهد:

«یکی از راه‌هایی که هکرها تلاش می‌کنند از طریق آن کنترل‌های امنیتی گوگل پلی را دور بزنند، نسخه‌سازی است. نسخه‌سازی زمانی اتفاق می‌افتد که یک توسعه‌دهنده نسخه اولیه برنامه‌ای را در گوگل پلی منتشر کرده باشد که قانونی به‌نظر می‌رسد و بررسی‌های ما آن را تأیید کرده‌اند. اما سپس یک به‌روزرسانی از سوی سرور شخص ثالث دریافت می‌کند که کد دستگاه کاربر نهایی را تغییر می‌دهد و فعالیت‌های مخرب خود را فعال می‌کند.»

گوگل در ادامه اشاره می‌کند برنامه‌هایی که درگیر چنین فعالیت‌هایی هستند، خط‌مشی رفتار فریبنده Google Play را نقض می‌کنند و می‌توان آن‌ها را به‌عنوان درِ پشتی (Backdoor) برچسب‌گذاری کرد.

طبق دستورالعمل‌های فعلی گوگل پلی، برنامه‌هایی که از طریق این سرویس منتشر می‌شوند، نمی‌توانند با استفاده از هر روشی غیر از مکانیسم رسمی به‌روزرسانی ارائه‌شده توسط گوگل، برنامه خود را تغییر، جایگزین یا به‌روزرسانی کنند. همچنین این برنامه‌ها از دانلود کدهای اجرایی (مانند فایل‌های dex ،JAR یا so.) از منابع خارجی منع شده‌اند.

بدافزاری که در گوگل پلی از این تکنیک استفاده می‌کند

گوگل همچنین به یک نوع خاص از بدافزار با نام SharkBot اشاره کرده است که اولین‌بار در سال 2021 توسط تیم اطلاعاتی Cleafy کشف شد و از همین تکنیک استفاده می‌کند. SharkBot یک بدافزار بانکی است که پس از نفوذ به دستگاه‌های اندرویدی، از طریق پروتکل سرویس انتقال خودکار (ATS)، به‌طور غیرمجاز انتقال پول انجام می‌دهد.

هکرهای مسئول SharkBot برای مخفی‌کردن ماهیت مشکوک برنامه‌های خود از استراتژی انتشار نسخه‌هایی با عملکرد محدود در گوگل پلی استفاده می‌کنند. بااین‌حال، زمانی که کاربر نسخه دارای تروجان برنامه را دانلود می‌کند، نسخه کامل بدافزار توسط او دریافت می‌شود.