برخی بدافزارها با سوءاستفاده از تکنیکهای فشردهسازی APK موفق شدهاند سیستمهای امنیتی اندروید را براحتی فریب بدهند و وارد سیستم شوند.
برنامههای مخرب همیشه یکی از نگرانیهای گوشیهای اندروید بوده است، اگر چه گوگل اقدامات قابل توجهی برای مبارزه با ورود بدافزار در سیستمعامل موبایلی انجام داده، اما هکرها راهکارهای جدیدی برای عبور از موانع امنیتی پیدا میکنند. این بار هکرها با استفاده از روش فشردهسازی مخفی APK برای ورود به قابلیتهای امنیتی اندروید استفاده کردهاند.
بدافزارها با فشردهسازی APK میتوانند خود را از دید سپرهای امنیتی اندروید پنهان کنند، نکتهی نگرانکننده این است که بهترین نوع آنتی ویروس نیز نمیتواند این برنامههای مخرب را شناسایی کند. البته خبر خوبی هم وجود دارد، چرا که مبارزه با چنین بدافزارهایی نسبتاً آسان است.
تکنیک جدید بدافزارها برای عبور از موانع امنیتی اندروید
Zimperium روش جدیدی را کشف کرده که هکرها از آن برای جلوگیری از شناسایی شدن در گوشی اندروید استفاده میکنند. (Zimperium شرکت امنیتی گوشیهای هوشمند است که در شناسایی و حذف بدافزار از فروشگاه گوگلپلی تخصص دارد).
روش فشردهسازی جدید، APK را در قالب فایلهایی بستهبندی میکند که میتواند از آنها برای نصب و توزیع برنامهها از طریق اکوسیستم اندروید استفاده کند. این برنامههای مخرب در برابر دیکامپایل (Decompilation) کدها نیز مقاومت میکنند (دیکامپایل به فرآیندی گفته میشود که سیستمهای امنیتی و نرمافزارهای آنتیویروس از آن برای پرچمگذاری کدهای مشکوک بهره میبرند).
بدافزارهای جدید از نظر فنی از الگوریتمهای فشردهسازی به شدت دستکاری شده یا پشتیبانینشده استفاده میکنند، از آنجایی که تاکتیک مذکور برای برنامههای امنیتی شناختهشده نیست، در نتیجه به بدافزار اجازه میدهد مثل یک اپلیکیشن معمولی کار کند و همهی اقدامات امنیتی را نیز دور بزند.
درحالحاضر وضعیت چقدر بد است؟
طبق اعلام Zimperium، این شرکت ۳۳۰۰ برنامهی مخرب را که از تکنیک فشردهسازی APK بهره میبرند، شناسایی کرده، در این بین ۷۱ بدافزار روی سیستمعامل اندروید ۹ و جدیدتر بدون مشکل کار میکنند.
گزارش Joe Security نیز نشان میدهد فایل APK چگونه میتواند فرآیند تجزیه و تحلیل بدافزار را دور بزند و بهطور یکپارچه روی دستگاههای اندروید اجرا شود، این شرکت امنیتی سوئیسی در زمینهی تجزیه و تحلیل عمیق بدافزارها در لینوکس، اندروید و macOS تخصص دارد.
Zimperium هیچ مدرکی مبنی بر وجود بدافزار در فروشگاه گوگلپلی ارائه نداده، به عبارت دیگر هیچ کدام از ۳۳۰۰ فایل APK که این شرکت شناسایی کرده در فروشگاه رسمی اندروید منتشر نشدهاند و این یعنی برنامهها از طریق روشهای غیر رسمی در دسترس کاربران قرار گرفتهاند.
اندروید به فروشگاههای برنامهی شخصثالث اجازه میدهد اپلیکیشنها را بدون نیاز به گوگلپلی نصب کنند و در واقع سایدلود(نصب دستی) برنامهها، عملیاتی رایج در دنیای اندروید محسوب میشود، اگر چه گوگل لایهی امنیتی مخصوصی برای جلوگیری از بارگذاری جانبی ارائه میدهد اما میتوان آن را براحتی خاموش کرد، منظور ما از این لایهی امنیتی، قابلیت نصب برنامهها از منابع ناشناس (Install apps from unknown sources) است.
در حالیکه بارگذاری جانبی برنامهها در اندروید، بسیار کاربردی و البته قانونی است، اما هکرها همیشه از این ویژگی سوءاستفاده کردهاند.
در مقابل بدافزارهای جدید اندروید چه کاری انجام دهیم؟
برای ایمن نگهداشتن خود در برابر بدافزارهای جدید اندروید میتوان اقدامات مختلفی انجام داد، اول اینکه باید از بارگذاری جانبی اپلیکیشنها خودداری کرد.
اگر راهی غیر از سایدلود (نصب دستی) برای نصب برنامه ندارید، فایل APK آن را از منابع معتبر دانلود کنید، توصیه میشود برای دانلود و نصب برنامهها همیشه از فروشگاه گوگلپلی، گلکسی استور یا آمازون استور استفاده کنید.
اقدام دیگر، نصب برنامهی آنتیویروس خوب روی گوشی اندروید است، اگر چه بسیاری از بدافزارها حتی از آنتیویروس عبور میکنند اما بانک اطلاعات این برنامههای امنیتی پس از شناسایی روشهای جدید هک بروزرسانی میشود تا بتواند جدیدترین راهکارهای هکرها را نیز تشخیص دهد.
منبع : زومیت
