امروزه اپلیکیشنها یا برنامههای کاربردی مختلف با قابلیتها و عملکردهای متنوع، سهولت بیشتری در زندگی روزمره ما به ارمغان آوردهاند، با این حال ضروری است که در دانلود برنامههای موبایلی جانب احتیاط رعایت شود، چرا که حتی با وجود برخی ابزارها و راهکارهای امنیتی، کماکان احتمال دانلود برنامههای مخرب و آلوده وجود دارد.
اپلیکیشنها همچنان یکی از اهداف اصلی بدافزارها شامل ویروس، کرم، تروجان، جاسوسافزار، تبلیغافزار محسوب میشوند و ممکن است خطرات قابل توجهی را برای کاربران گوشیهای هوشمند به همراه داشته باشند.
مشاهدات و یافتههای اخیر آزمایشگاه تحلیل بدافزار پادویش در مارکتهای نرمافزاری اندروید، بیانگر افزایش چشمگیر آلودگی اپلیکیشنهای اندرویدی به بدافزارها بوده است.
محققان آزمایشگاه تحلیل بدافزار پادویش به تازگی ۴۰۳ اپلیکیشن اندرویدی مخرب از ۲۵۰.۰۰۰ اپلیکیشن موجود در مارکت اندرویدی کافه بازار را شناسایی کردهاند که از این تعداد، ۱۹ اپلیکیشن به عنوان تروجان، ۵ اپلیکیشن به عنوان جاسوسافزار شناخته شده و ۲۸۹ اپلیکیشن به عنوان PUA و ۸۰ اپلیکیشن به عنوان تبلیغافزار (AdWare) و ۱۰ مورد نیز به عنوان RiskTool تشخیص داده شدهاند. تعداد ۱۷ مورد از اپلیکیشنهای بررسی شده مذکور در کافه بازار، در گوگل پلی نیز موجود و قابل دسترس میباشند، که از نوع AdWare و RiskTool هستند.
گفتنی است که این اپلیکیشنهای اندرویدی حاوی بدافزار، تحت پوشش برنامههای کاربردی ظاهرا قانونی و معتبر در دستهبندیهای مختلف از جمله بازی و سرگرمی، آموزشی، ابزارها، ورزشی و تناسب اندام، موسیقی، عکاسی، تماشای فیلم، مالی و غیره عرضه شدهاند. این بدافزارها که تاکنون هزاران بار در کافه بازار و میلیونها بار در گوگلپلی توسط کاربران ناآگاه دانلود شدهاند، تا زمان نگارش این مطلب، کماکان قابل دسترس هستند.
نمودار ۱) فراوانی انواع بدافزارها
خانوادههای بدافزاری
▪️Notifyer: این خانواده تبلیغافزار به استفاده از اعلانهای لحظهای (push notification) جهت نمایش تبلیغات و همچنین هدایت کاربران به وبسایتهایی که حاوی محتوای مخرب هستند، شناخته شده است. بسته شدن این اعلانها ممکن است دشوار باشد و حتی هنگام عدم استفاده کاربر از برنامه نیز در مرورگر کاربران یا صفحه گوشی آنها ظاهر میشوند.
به طور کلی این نوع از ابزارهای تبلیغاتی در پس زمینه با استفاده از سرویسهای ارسال اعلان، برای کاربر اعلانهای تبلیغاتی نمایش میدهد و در صورت کلیک کاربر بر روی هر یک از این اعلانها، بلافاصله صفحه تبلیغاتی در مرورگر باز میشوند. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۳۰۱ مورد آن که بیشترین تعداد است، به این خانواده تعلق دارد.
▪️SpinOk: این خانواده جاسوسافزار با افزودن ماژول مخرب به برنامهها و بازیهای مختلف موجود در پلتفرمهای محبوبی مانند گوگلپلی، منتشر و پس از نصب، به صورت تبلیغ در دستگاه کاربران ظاهر میشوند. ابتدا به یک سرور راه دور متصل میشود و لیستی از URLها را دریافت میکند، سپس با باز کردن آنها در WebView، بنرهای تبلیغاتی برای خدمات یا مینیبازیها را با پاداش روزانه نمایش میدهد.
در حین تعامل کاربر با تبلیغات درون برنامهای، SpinOk کارهای مخربی همچون جمعآوری اطلاعات و فایلهای حساس در دستگاه کاربر و جایگزینی و آپلود محتوای کلیپبورد را در پس زمینه انجام میدهد. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۴ مورد به این خانواده اختصاص یافته است.
▪️DarkHerring: یک کمپین بدافزاری است که با عضویت کاربران در خدمات ارزش افزوده بدون اطلاع کاربر او را متحمل هزینههای بسیاری میکند. DarkHerring در واقع یک کمپین سوء استفاده از خدمات ارزش افزوده است که میلیونها دستگاه اندرویدی را در سراسر جهان تحت تأثیر قرار داده است. این بدافزار برای افزودن هزینههای پنهانی به صورت حسابهای تلفن همراه کاربران طراحی شده است که در قبض تلفن آنها اعمال میشود.
برنامههای مخرب اندروید این خانواده، هنگام مشاهده توضیحات مارکتها و مجوزهای درخواست شده، بیضرر به نظر میرسند، اما این حس اعتماد کاذب زمانی تغییر میکند که کاربران ماه به ماه برای سرویس ارزشافزوده که دریافت نمیکنند متحمل هزینه میشوند. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۱۵ مورد به این خانواده اختصاص یافته است.
▪️ HiddenAd: نوعی از خانواده تبلیغافزار که تبلیغات را به صورت غیر مستقیم و گمراه کننده به کاربر نمایش میدهد، به این صورت که تبلیغات اغلب به عنوان محتوای قانونی مانند مقالههای خبری یا پستهای رسانههای اجتماعی پنهان میشوند. HiddenAd معمولاً تبلیغات را به صفحات وبی که در مرورگر کاربر بارگذاری میشوند، تزریق میکند.
این ماژولها حتی مستقل از برنامههایی که در آن هستند اجرا میشوند. بنابراین، کاربران دائماً تبلیغاتی در قالب بنرهای آزاردهنده به صورت پاپآپ (pop up) یا بینابینی (interstitial) مشاهده میکنند که در نحوه استفاده از دستگاههای تلفن همراه آنها اختلال ایجاد میکند. در برخی موارد حتی ممکن است به نصب بدافزار نیز منجر شود. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۲۴ مورد متعلق به این خانواده است.
▪️ AIRPUSH: خانوادهای از نرمافزارهای تبلیغاتی که تبلیغات مزاحم همچون پاپآپها و بینابینی را در قالب اعلانهای لحظهای نمایش میدهند. بسته شدن این تبلیغات گاه دشوار است و تجربه کاربر را مختل میسازد. ماژولهای Adware.Airpush دارای قابلیت انتقال اطلاعاتی مانند IMEI، شماره تلفن و مختصات GPS دستگاه را به یک سرور راه دور هستند. این اعلانها میتوانند حتی در صورت عدم استفاده کاربر از گوشی، به نمایش درآیند. همچنین ممکن است، منجر به قرار گرفتن کاربر در معرض محتوای مخرب شوند. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۱۰ مورد به این خانواده اختصاص یافته است.
▪️ LeadBolt: خانوادهای از ابزارهای تبلیغاتی که کاربران را به وبسایتهایی با محتوای مخرب هدایت میکند، که میتواند منجر به نصب بدافزار یا سرقت اطلاعات شخصی شود. این مسئله ممکن است از طریق پیوندهای فیشینگ یا استفاده از تغییر مسیرهای نامرئی صورت پذیرد. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۱۰ مورد به این خانواده تعلق داشته است.
▪️ Smsreg: خانوادهای از RiskToolها که معمولا پیامهای متنی اسپم (Spam) به کاربران ارسال میکنند. این پیامها میتوانند آزاردهنده و حاوی لینکهای مخرب باشند و یا به منظور جمعآوری اطلاعات شخصی مورد استفاده قرار گیرند. برنامههای SMSReg ممکن است کاربران را در خدمات ارزش افزوده یا اشتراکهای مبتنی بر پیامک بدون رضایت صریح آنها مشترک کنند که میتواند منجر به ایجاد هزینههای غیرمنتظره در قبض تلفن کاربر شود. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۴ مورد به این خانواده اختصاص یافته است.
▪️Revmob: این خانواده به استفاده از انواع قالبهای تبلیغاتی برای نمایش تبلیغات شناخته شده است و معمولاً تبلیغات را در قالب بنرها، پاپآپها و موارد بینابینی به نمایش درمیآورد. بسته شدن این تبلیغات ممکن است به سختی صورت پذیرد و گاه نیز همراه با محتوای نامناسب و آزاردهنده باشد و در تجربه کاربر اختلال ایجاد کند. افزون بر این، میتواند اطلاعات کاربر را گردآوری نماید و در برخی موارد ممکن است به نصب بدافزار نیز منتهی شود. از میان ۴۰۳ اپلیکیشن اندرویدی مخرب، ۵ مورد متعلق به این خانواده بوده است.
چنانچه در نمودار زیر قابل مشاهده است، ۳۰ مورد از این تعداد هم به سایر خانوادههای بدافزاری مرتبط بودهاند.
نمودار ۲) فراوانی خانوادههای بدافزاری
✔️ ۱۰ مورد از اپلیکیشنهای مخرب موجود و بررسی شده در گوگلیپلی که بیشترین دانلود را داشتهاند، به شرح جدول زیر میباشد:
| ردیف | نام پکیج | نام اپلیکیشن | آیکون اپلیکیشن | تعداد دانلودها |
| 1️⃣ | com.gangyun.beautysnap | BeautySnap |  |
10M+ |
| 2️⃣ | com.hungnguoi.chankhong | Hammer Man |  |
1M+ |
| 3️⃣ | com.droidhen.slg.epicwar | Epic War – Castle Alliance |  |
500K+ |
| 4️⃣ | com.squid.apesrevolt | Apes Age |  |
500K+ |
| 5️⃣ | com.StreamerSimulatorguide.StreamerLifeSimulatorMobileGuide | Guide Streamer Life Simulator |  |
500K+ |
| 6️⃣ | com.mm999.emojivideomaker | Emoji Video Maker |  |
100K+ |
| 7️⃣ | com.TipsterStreamerLifeMobile.FreeTipsterforStreamerLifemobile | Tipster for Streamer Life Simu |  |
100K+ |
| 8️⃣ | com.StreamerLifeSimulatorWalkthrough.FreeStreamerLifeSimulatorWalkthrough | Walkthrough Streamer Life Simu |  |
100K+ |
| 9️⃣ | galaxy.note5.theme.launcher | Note 5 Launcher and Theme |  |
100K+ |
| 🔟 | de.afapps.blacklight | Blacklight Simulation |  |
100K+ |
✔️ شاخصهای آلودگی اپلیکیشنهای فوق به همراه تهدیدات شناسایی شده توسط پادویش به ترتیب به شرح جدول زیر میباشد:
| ردیف | شناسههای آلودگی | عنوان شناسایی پادویش |
| 1️⃣ |
92c567445f19dc76a9120410b61833eb7abb3f35143a8dd4f805f01d81b88242 |
Adware.Android.HiddenAds.Beautys |
| 2️⃣ | 216bfefc6dfb92f4a9e8178427d4b38a5b0e62854b038437113d35a2ecc5b680 | RiskTool.Android.SMSreg.Pmax |
| 3️⃣ | f106cbb4fdac73f3e61e4d23deef1a9f9e5079bd29f372038245de152c633a56 | RiskTool.Android.SMSreg.Iw |
| 4️⃣ | 4da576886ceeb1e332147f1004e2254baac9a2052fee0dddc6211dd2eac0a57a | RiskTool.Android.SMSreg.Squid |
| 5️⃣ | a8b34b1750196b0e50b55d35ba885b2d9edc12e3beee815b1f4ded9048d989cd | Adware.Android.HiddenAd.Sim |
| 6️⃣ | bc4367eab5bd5e679f85d6af6b1cd07d64319e1108b34918321258cd097c3acc | PUA.Android.Jiagu.Packed |
| 7️⃣ | 88319e5ed97e66d55758d9cd6ae37b1e22bb93a52ace340bc8e07f79dfc0a6b9 | Adware.Android.HiddenAd.Str |
| 8️⃣ | 4390c6ed7eb976f045edab7d4a318d10698788ad9c18e22347bc8e978674cfa5 | Adware.Android.HiddenAd.Streamer |
| 9️⃣ | 80f52e968c87ae0084a5194c691b905505f7550615c197452cf19e7516d58af8 | Adware.Android.AirPush.P |
| 🔟 | 90b4a5921c7eb5a6b6fd9951aec9e75061a4be9be66cb04eb9bb38b0c15b8c04 | Adware.Android.Airpush.A |
✔️ ۱۰ مورد از اپلیکیشنهای مخرب موجود و بررسی شده در کافه بازار که بیشترین دانلود را داشتهاند، به شرح جدول زیر میباشد:
| ردیف | نام پکیج | نام اپلیکیشن | آیکون اپلیکیشن | تعداد دانلودها |
| 1️⃣ | com.tabir.mhmpour | تعبیر خواب دقیق |  |
200K+ |
| 2️⃣ | skin.barbie.jimmindhie | Girls Craft Rainbow Island |  |
100K+ |
| 3️⃣ | kar.bacheraiis.mhm | کارتون بچه رئیس |  |
100K+ |
| 4️⃣ | de.afapps.alienradar | Alien Radar Simulation |  |
100K+ |
| 5️⃣ | com.nepel.scandriveanti | Security Antivirus |  |
50K+ |
| 6️⃣ | com.mashavamisha.afs | ماشا و میشا جدید |  |
50K+ |
| 7️⃣ | kar.shabneghabcartoons.mhm | کارتون گروه شب نقاب |  |
50K+ |
| 8️⃣ | com.bobsfanji.mhm | کارتون باب اسفنجی |  |
50K+ |
| 9️⃣ | com.kafshdozak.mhm | کارتون دختر کفشدوزکی |  |
50K+ |
| 🔟 | kart.daltonss.vahab | Daltoons |  |
50K+ |
✔️ شاخصهای آلودگی اپلیکیشنهای فوق به همراه تهدیدات شناسایی شده توسط پادویش به ترتیب به شرح جدول زیر میباشد:
| ردیف | شناسههای آلودگی | عنوان شناسایی پادویش |
| 1️⃣ | 6f34156ac9a2cf7aab472ae0594fe8c00adcc3a81a0cf1119752972000e0fd73 | PUA.Android.Notifyer.Cy |
| 2️⃣ | 142256bdb8791acda3119bf35324bac6e40f8844176ad2d268934acfa1a9e9dc | Adware.Android.HiddenAd.Zk |
| 3️⃣ | 8e44ddec92722fc0c2ee726b3d9125cbe4df747421f871b14ebc768e85e5d6e7 | PUA.Android.Notifyer.Kidsplay |
| 4️⃣ | 1eab3feb37bc0685f6d63a0ab8aca090a79cd4b5ea66a92caa0405d367146e71 | Adware.Android.AirPush.P |
| 5️⃣ | 69c81403c28e86fe90975bab668dd9f3fdc4330717a4842e334b57cff68df489 | PUA.Android.Agent.SecurityAV |
| 6️⃣ | 3a14bf2700f52e7bafdf59728dbadd62ff2c9cadbc1b995ab49af64874402592 | PUA.Android.Notifyer.Cy |
| 7️⃣ | c5feb76b127b4a79e7aaaf61328553228907c3c3dd439939e88616c78b43964d | PUA.Android.Notifyer.Kidsplay |
| 8️⃣ | 2cd2d1ad460f71597e145de78dc22ed3ad7901ffaa9b5d18583162e6392ac6e9 | PUA.Android.Notifyer.Kidsplay |
| 9️⃣ | a13d47edd4d23bbe127d01fb69a43806edc31c2bcb651fac14e616a6b9a4397c | PUA.Android.Notifyer.Kidsplay |
| 🔟 | bbc0b27ac916a6e3d6f978eab6568bd922a2fdfef257a579c69dab8c89840c56 | PUA.Android.Notifyer.Cy |
✅ توصیه میشود پیش از آلوده شدن به برنامههای مشکوک و مخرب و وارد شدن هر گونه خسارت احتمالی، به منظور حافظت از اطلاعات خود و گوشی همراهتان، اقدام به دانلود و نصب آنتی ویروس پادویش کنید تا در برابر آلودگیهای بدافزاری ایمن بمانید.
✅ همچنین پیشنهاد میشود راههای شناسایی برنامههای ایمن را از مقاله “روشهای تاثیرگذار در شناسایی اپلیکیشن سالم از مخرب” مطالعه کنید.
