23:15 | جمعه 30 آذر 1403
Research Analysis Debriefing Day
نفوذ بدافزارها به بازی‌های اندرویدی

1397/10/21 21:30

نفوذ بدافزارها به بازی‌های اندرویدی

پایگاه خبری راد: برای اجرای بازی‌های قدیمی در محیط اندروید، لازم است شبیه‌سازی به منظور پیاده‌سازی و اجرای بازی وجود داشته باشد و مهاجمان، بدافزار را هنگام نصب برنامه در فایل شبیه‌ساز مخفی کرده و رفتاری مخرب را در قالب برنامه‌ای سالم در فروشگاه اندرویدی منتشر می‌کنند.

به گزارش پایگاه خبری راد،  بازیهای قدیمی کنسول، دستهای از برنامه‌های موجود در فروشگاه‌های اندرویدی هستند که به دلیل خاطره‌انگیز بودن آن‌ها، در بین کاربران اندرویدی طرفداران زیادی دارد. برای اجرای این بازی‌های قدیمی در محیط اندروید لازم است شبیه‌سازی به منظور پیاده‌سازی و اجرای بازی وجود داشته باشد.

این فایل شبیه‌ساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته می‌شود تا برنامه شبیه‌ساز را نصب کند. با تایید کاربر، فایل ثانویه شبیه‌ساز روی دستگاه نصب شده و کاربر می‌تواند بازی کنسول را روی دستگاه اندرویدی خود اجرا کند. اما طبق گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای)، همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سواستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.

از آنجا که در اغلب این برنامه‌ها، فایل مربوط به شبیه‌ساز، بدون پسوند apk در پوشه‌های جانبی برنامه اصلی قرار داده شده است، در بررسی‌های امنیتی برنامه، توسط فروشگاه‌های اندرویدی، به وجود چنین فایلی توجه نمی‌شود و فایل شبیه‌ساز مورد بررسی قرار نمی‌گیرد. در مجوزهای نمایش‌ داده‌ شده در فروشگاه‌های اندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده و مجوزهایی که شبیه‌ساز از کاربر می‌گیرد، ذکر نمی‌شود. این فرصتی است که مهاجم با استفاده از آن می‌تواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامه‌ای سالم در فروشگاه اندرویدی منتشر سازد.

علاوه بر این، فایل شبیه‌ساز پس از نصب آیکون خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. حتی با حذف برنامه اصلی نیز، فایل شبیه‌ساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد. تاکنون دهها توسعهدهنده اقدام به انتشار صدها برنامه‌ی از این دست کرده‌اند که به دلیل گرافیک پایین و عدم جذابیت، این برنامهها در مقایسه با بازیهای پیشرفتهتر نتوانستهاند کاربران زیادی جذب کنند.

رفتار مخرب برنامه‌های شبیه‌ساز به چه نحو است؟

رفتار مخرب مربوط به این برنامه‌ها، که عموما ساختاری یکسان و تکراری دارند را می‌توان به سه دسته تقسیم کرد: استفاده از سرویس‌های تبلیغاتی، علاوه بر سرویس‌های تبلیغاتی موجود روی برنامه اصلی، دانلود و نصب برنامه‌های دیگر (بدافزار یا برنامه‌های دارای سرویس‌های ارزش افزوده) و جاسوسی و ارسال اطلاعات کاربر به مهاجم.

توسعه‌دهندگان بسیاری اقدام به انتشار برنامههایی برای اجرای بازیهای قدیمی کنسول، در فروشگاه اندرویدی کردهاند. برای اجرای این بازیهای قدیمی، کافی است خروجی ROM دستگاه‌های قدیمی به برنامههایی تحت عنوان «امولاتور» یا  «شبیه‌ساز» به عنوان ورودی داده شود. توسعهدهندگان از این روش استفاده کرده و تعداد زیادی بازی قدیمی را در فروشگاهها منتشر کردهاند.

برنامههای منتشرشده پس از نصب روی گوشی کاربر، از کاربر درخواست نصب شبیهساز میکنند تا کاربر بتواند بازی را اجرا کند. کاربر نیز طبیعتا اجازه نصب شبیهساز را داده و بدین‌ترتیب برنامه شبیهساز روی گوشی کاربر نصب میشود. تا به این‌جای کار مشکلی وجود ندارد اما مشکل اینجاست که برنامههای شبیهساز نصبشده، همگی توسط توسعهدهندگان ثانویه تغییر یافتهاند و پس از نصب مخفی میشوند و حتی با حذف برنامه بازی اصلی از روی گوشی، شبیه‌سازها حذف نمیشوند. همچنین شبیهسازها اکثرا اقدام به انجام اعمالی خارج از چارچوب خود میکنند و اعمال مخربی به دور از چشم کاربر انجام میدهند.

چه سوءاستفاده‌هایی می‌شود؟

برنامههای اصلی و هم‌چنین شبیهسازها اکثرا از سرویسهای تبلیغاتی مختلفی بر بستر خدمات پوشه، چشمک،GCM، FireBase، OneSignal و غیره استفاده میکنند. برنامههای اصلی صرفا از قابلیت ارسال هشدار این سرویسها استفاده میکنند اما شبیهسازها، به دور از چشم  بررسیکنندگان برنامههای فروشگاهها، از این سرویسها برای اهدافی مانند باز کردن صفحه ارسال پیامک با متن و شماره مقصد، باز کرده صفحه تماس با یک شماره، باز کردن صفحه یک برنامه در فروشگاههای اندرویدی، نمایش انواع دیالوگهای تبلیغاتی، تبلیغاتی صوتی و حتی ویدیوئی، باز کردن لینک در مرورگر، باز کردن لینک در برنامههای مختلف اینستاگرام، تلگرام (رسمی و غیررسمی) و پیشنهاد عضورت کاربر در کانال یا گروه و نمایش تبلیغات تمام‌صفحه استفاده می‌کنند.

برخی برنامههای شبیهساز دسترسیهای حساسی مانند دسترسی به اکانتهای روی گوشی، موقعیت مکانی گوشی و دسترسی به اطلاعات وضعیت گوشی را درخواست و آیکون خود را مخفی میکنند. سپس در پسزمینه اقدام به سرقت اطلاعات کاربران میکنند. برنامه اطلاعات مختلفی را به سرورهای خود ارسال میکند. از جمله اطلاعات حساس میتوان به اطلاعات طول و عرض جغرافیایی گوشی، آدرس آیپی کاربر، IMEI گوشی، نسخه سیستم عامل، نام کاربری حساب‌های کاربری گوگل روی گوشی اشاره کرد.

یکی دیگر از اقدامات مشاهده شده‌ در برخی شبیهسازها، دانلود و نصب برنامههای دیگر است. برنامههای ثانویه دانلود شده انواع مختلفی دارند از جمله بدافزارهایی که به صورت خودکار کاربر را عضو سرویس ارزش افزوده میکنند، برنامههایی که برای استفاده از آنها باید عضو سرویس ارزش افزوده شد و یا برنامههای فروشگاههای اندرویدی که توسط توسعه دهنده، سفارش تبلیغ آنها داده شده است.