شناسایی برنامه جعلی اندروید در گوگل پلی؛ راهنمای جامع

مهاجمان سایبری در سال ۲۰۲۴ فراتر از کپی کردن آیکون‌ها رفته‌اند و اکنون از تکنیک‌های پیچیده مهندسی اجتماعی در متادیتای برنامه‌ها استفاده می‌کنند. این روش شامل استفاده استراتژیک از کلمات کلیدی مانند «رسمی»، «تایید شده» یا «نسخه پریمیوم رایگان» در عنوان برنامه است تا حس اعتماد کاذب ایجاد کند.

آن‌ها با تحلیل دقیق الگوریتم‌های جستجوی گوگل پلی، توضیحات برنامه را به گونه‌ای می‌نویسند که در صدر نتایج جستجو قرار گیرند.

یکی از ترفندهای رایج، استفاده از نام‌های بسیار مشابه به برندهای بزرگ با تغییرات نامحسوس در حروف (Typosquatting) است. به عنوان مثال، به جای 'MetaMask' ممکن است از 'MetaMaslk' استفاده شود که در نگاه اول توسط کاربر تشخیص داده نمی‌شود.

این برنامه‌ها معمولاً در بخش توضیحات، از اصطلاحات فنی پیچیده استفاده می‌کنند تا کاربر را متقاعد کنند که این یک ابزار ضروری برای امنیت یا بهبود عملکرد دستگاه است.

علاوه بر این، مهاجمان از تصاویر محیط برنامه (Screenshots) بسیار حرفه‌ای و باکیفیت استفاده می‌کنند که اغلب از محیط برنامه‌های اصلی دزدیده شده‌اند. آن‌ها حتی بخش «آنچه جدید است» را با جزئیات فنی دقیق به‌روزرسانی می‌کنند تا نشان دهند که برنامه به طور مداوم در حال توسعه است.

این سطح از جزئیات باعث می‌شود که حتی کاربران نیمه‌حرفه‌ای نیز در تشخیص اصالت برنامه دچار تردید شوند.

برای مقابله با این تهدید، کاربران باید به جای اعتماد به ظاهر، به تاریخ اولین انتشار برنامه توجه کنند. برنامه‌هایی که ادعا می‌کنند متعلق به یک برند بزرگ هستند اما تنها چند هفته از انتشار آن‌ها می‌گذرد، به احتمال بسیار زیاد جعلی هستند.

همچنین، بررسی آدرس ایمیل توسعه‌دهنده که باید با دامنه رسمی شرکت مطابقت داشته باشد (مثلاً به جای Gmail از دامنه اختصاصی استفاده شده باشد)، یکی از بهترین راه‌های اعتبارسنجی است.

در نهایت، مهندسی اجتماعی به دنبال سوءاستفاده از عجله و نیاز کاربر است. برنامه‌های جعلی اغلب با وعده دسترسی به ویژگی‌های پولی به صورت رایگان، کاربر را ترغیب می‌کنند که منطق امنیتی خود را نادیده بگیرد.

آگاهی از اینکه هیچ شرکت معتبری نسخه پولی خود را به صورت رایگان و تحت نامی دیگر در گوگل پلی منتشر نمی‌کند، اولین قدم در محافظت از حریم خصوصی است.

یکی از دقیق‌ترین روش‌ها برای شناسایی یک برنامه جعلی، تحلیل لیست مجوزهایی است که در هنگام نصب یا پس از آن درخواست می‌کند. برنامه‌های مخرب معمولاً به دنبال «دسترسی‌های بیش از حد» (Over-privileged) هستند که هیچ ارتباط منطقی با کارکرد اصلی برنامه ندارد.

برای مثال، یک اپلیکیشن ساده چراغ‌قوه یا ماشین‌حساب هرگز نیازی به دسترسی به لیست مخاطبین، پیامک‌ها یا موقعیت مکانی دقیق ندارد.

خطرناک‌ترین مجوزی که برنامه‌های جعلی مدرن از آن سوءاستفاده می‌کنند، 'Accessibility Service' یا خدمات دسترسی‌پذیری است. این قابلیت که برای کمک به کاربران دارای معلولیت طراحی شده، به برنامه اجازه می‌دهد محتوای صفحه نمایش را بخواند و به جای کاربر روی دکمه‌ها کلیک کند.

برنامه‌های جعلی با فریب کاربر برای فعال‌سازی این گزینه، می‌توانند کدهای تایید دومرحله‌ای را از پیامک‌ها یا اپلیکیشن‌های بانکی سرقت کنند بدون اینکه ردی از خود به جای بگذارند.

علاوه بر این، مجوز 'Display Over Other Apps' (نمایش روی برنامه‌های دیگر) به برنامه‌های جعلی اجازه می‌دهد صفحات ورود جعلی (Phishing Overlays) را روی برنامه‌های بانکی یا کیف پول‌های دیجیتال نمایش دهند.

کاربر تصور می‌کند در حال وارد کردن رمز عبور در برنامه اصلی است، در حالی که در حال ارسال اطلاعات برای مهاجم است. بررسی دقیق این مجوزها در بخش تنظیمات گوشی می‌تواند ماهیت واقعی یک برنامه مخرب را افشا کند.

کاربران باید اصل «حداقل دسترسی» را دنبال کنند. اگر برنامه‌ای برای کارکرد خود به مجوزی نیاز دارد که مشکوک به نظر می‌رسد، باید بلافاصله نصب آن را متوقف کرد.

در نسخه‌های جدید اندروید، گوگل امکان مدیریت دقیق‌تر مجوزها را فراهم کرده است، اما برنامه‌های جعلی با استفاده از پیام‌های پاپ‌آپ سیستمی دروغین، سعی می‌کنند کاربر را بترسانند تا تمام دسترسی‌ها را تایید کند.

در نهایت، شناسایی الگوهای درخواست مجوز بسیار حیاتی است. بدافزارهای بانکی معمولاً بلافاصله پس از نصب، درخواست دسترسی به SMS و مدیریت تماس‌ها را دارند. در حالی که ابزارهای جاسوسی بیشتر به دنبال دسترسی به میکروفون، دوربین و فایل‌های سیستمی هستند.

با مطالعه بخش 'Permissions' در صفحه گوگل پلی قبل از دانلود، می‌توان تا حد زیادی از ورود این اسب‌های تروای دیجیتال به حریم خصوصی جلوگیری کرد.

در اکوسیستم گوگل پلی، نام توسعه‌دهنده یکی از مهم‌ترین شاخص‌های اعتبار است، اما به راحتی می‌تواند مورد سوءاستفاده قرار گیرد. مهاجمان اغلب از نام‌هایی استفاده می‌کنند که شباهت زیادی به شرکت‌های بزرگ دارند، مثلاً به جای 'Google LLC' از 'Google Inc.' یا نام‌های مشابه استفاده می‌کنند.

برای شناسایی برنامه‌های جعلی، باید به پروفایل کامل توسعه‌دهنده مراجعه کرد و لیست تمام برنامه‌های منتشر شده توسط او را بررسی نمود.

یک توسعه‌دهنده معتبر معمولاً دارای یک وب‌سایت رسمی با پروتکل HTTPS است که در بخش اطلاعات تماس گوگل پلی درج شده است. اگر لینک وب‌سایت به یک وبلاگ رایگان، یک صفحه فیس‌بوک یا یک سایت نامرتبط ختم شود، این یک هشدار جدی است.

همچنین، ایمیل‌های پشتیبانی که از سرویس‌های رایگان مانند Gmail یا Outlook استفاده می‌کنند، برای برنامه‌هایی که ادعای رسمی بودن دارند، یک نشانه منفی بزرگ محسوب می‌شوند.

بررسی سوابق توسعه‌دهنده نیز بسیار کلیدی است. توسعه‌دهندگان برنامه‌های جعلی معمولاً عمر کوتاهی دارند؛ حساب آن‌ها پس از مدتی توسط گوگل مسدود می‌شود و آن‌ها با نامی جدید بازمی‌گردند.

اگر یک برنامه ادعا می‌کند میلیون‌ها کاربر دارد اما توسعه‌دهنده آن هیچ سابقه دیگری در فروشگاه ندارد، باید به اصالت آن شک کرد. برنامه‌های اصلی معمولاً توسط تیم‌هایی منتشر می‌شوند که مجموعه‌ای از ابزارهای مرتبط را در کارنامه خود دارند.

علاوه بر این، باید به نحوه پاسخگویی توسعه‌دهنده به نظرات کاربران توجه کرد. شرکت‌های بزرگ معمولاً تیم‌های پشتیبانی برای پاسخ به مشکلات فنی دارند.

در مقابل، توسعه‌دهندگان برنامه‌های جعلی یا اصلاً به نظرات پاسخ نمی‌دهند و یا پاسخ‌های آن‌ها به صورت رباتیک، تکراری و با هدف ترغیب کاربران به دادن امتیاز ۵ ستاره است. این رفتار نشان‌دهنده تلاش برای دستکاری رتبه برنامه در فروشگاه است.

در نهایت، جستجوی نام توسعه‌دهنده در موتورهای جستجو خارج از محیط گوگل پلی می‌تواند حقایق زیادی را آشکار کند. انجمن‌های امنیتی مانند Reddit یا گروه‌های تخصصی امنیت سایبری اغلب لیست‌هایی از توسعه‌دهندگان مشکوک و مخرب را منتشر می‌کنند.

صرف چند دقیقه وقت برای تحقیق درباره هویت سازنده برنامه می‌تواند از ساعت‌ها تلاش برای پاکسازی گوشی از بدافزار و بازیابی اطلاعات سرقت شده جلوگیری کند.

گاهی اوقات یک برنامه جعلی موفق می‌شود از سد تمام فیلترهای امنیتی عبور کرده و روی گوشی نصب شود. در این مرحله، شناسایی بدافزار از روی رفتارهای غیرعادی سیستم عامل و سخت‌افزار امکان‌پذیر است. یکی از اولین نشانه‌ها، کاهش ناگهانی و غیرمنطقی طول عمر باتری است.

برنامه‌های جعلی و مخرب معمولاً در پس‌زمینه فعال می‌مانند تا داده‌ها را استخراج کنند یا از قدرت پردازشی گوشی برای استخراج ارز دیجیتال استفاده کنند.

داغ شدن بیش از حد گوشی در زمان‌هایی که از آن استفاده سنگین نمی‌شود، نشانه دیگری از فعالیت‌های پنهانی یک اپلیکیشن مخرب است.

این برنامه‌ها ممکن است به طور مداوم با سرورهای فرماندهی و کنترل (C&C) در ارتباط باشند تا دستورات جدید دریافت کنند یا اطلاعات سرقت شده را ارسال نمایند. این تبادل داده باعث افزایش غیرعادی مصرف ترافیک اینترنت می‌شود که در بخش تنظیمات مصرف داده (Data Usage) قابل مشاهده است.

ظهور تبلیغات پاپ‌آپ در خارج از محیط برنامه، حتی زمانی که گوشی در صفحه اصلی (Home Screen) قرار دارد، نشان‌دهنده نصب یک 'Adware' یا تبلیغ‌افزار است که اغلب در قالب برنامه‌های جعلی توزیع می‌شوند.

همچنین، اگر متوجه شدید که تنظیمات گوشی شما به طور خودکار تغییر می‌کند (مثلاً وای‌فای روشن می‌شود یا موتور جستجوی پیش‌فرض تغییر می‌کند)، این یک هشدار قرمز است که نشان می‌دهد برنامه به سطوح بالای دسترسی سیستمی دست یافته است.

یکی دیگر از نشانه‌های فنی، کند شدن کلی سیستم و تاخیر در اجرای برنامه‌های دیگر است. بدافزارها با اشغال حافظه RAM و درگیر کردن پردازنده، کارایی دستگاه را به شدت کاهش می‌دهند.

کاربران باید به طور مرتب لیست برنامه‌های در حال اجرا (Running Services) را در بخش گزینه‌های توسعه‌دهنده (Developer Options) چک کنند تا متوجه پردازش‌های ناشناخته‌ای شوند که آیکون یا نام مشخصی ندارند.

در نهایت، اگر برنامه‌ای پس از نصب بلافاصله «ناپدید» شد و آیکون آن در لیست اپلیکیشن‌ها نبود، اما در بخش تنظیمات نصب شده بود، این یک رفتار کلاسیک بدافزار است. این برنامه‌ها آیکون خود را مخفی می‌کنند تا حذف کردن آن‌ها برای کاربر دشوار شود.

در چنین شرایطی، استفاده از یک آنتی‌ویروس معتبر و به‌روز برای اسکن کامل سیستم و شناسایی ریشه ناهنجاری ضروری است.

یک جنبه بسیار خطرناک و مدرن در شناسایی برنامه‌های جعلی، بحث امنیت زنجیره تأمین (Supply Chain Security) است. گاهی اوقات یک برنامه در ابتدا با نیت مخرب ساخته نشده است، اما توسعه‌دهنده از کتابخانه‌ها یا SDKهای شخص ثالثی استفاده می‌کند که حاوی کدهای جاسوسی یا مخرب هستند.

این موضوع باعث می‌شود یک برنامه به ظاهر کاربردی، عملاً به عنوان یک برنامه جعلی عمل کرده و اطلاعات کاربران را به سرورهای غیرمجاز ارسال کند.

بسیاری از توسعه‌دهندگان برای کسب درآمد، SDKهای تبلیغاتی ناشناخته را در برنامه‌های خود ادغام می‌کنند. این ابزارها ممکن است بدون اطلاع توسعه‌دهنده اصلی، اقدام به جمع‌آوری لیست مخاطبین، تاریخچه مرورگر و حتی ضبط صدا کنند.

در این حالت، مرز بین یک برنامه «جعلی» و یک برنامه «ناامن» بسیار باریک می‌شود. کاربران باید بدانند که حتی برنامه‌هایی با تعداد دانلود بالا نیز ممکن است به دلیل ضعف در زنجیره تأمین، به ابزاری برای جاسوسی تبدیل شوند.

تکنیک دیگری که مهاجمان استفاده می‌کنند، خرید اپلیکیشن‌های محبوب و قدیمی از توسعه‌دهندگان اصلی است. پس از خرید، آن‌ها یک آپدیت جدید منتشر می‌کنند که حاوی کدهای مخرب است.

در اینجا، برنامه از نظر گوگل پلی معتبر است چون سابقه طولانی دارد، اما ماهیت آن به کلی تغییر کرده و به یک برنامه جعلی تبدیل شده است. این موضوع اهمیت بررسی تغییرات در سیاست‌های حریم خصوصی برنامه را دوچندان می‌کند.

برای مقابله با این تهدید، باید به گزارش‌های شفافیت و حریم خصوصی (Data Safety) در گوگل پلی توجه کرد. اگر برنامه‌ای لیست طولانی از داده‌هایی را که جمع‌آوری می‌کند ارائه داده اما توضیح روشنی برای دلیل جمع‌آوری آن‌ها ندارد، باید با احتیاط با آن برخورد کرد.

همچنین، استفاده از ابزارهای تحلیل اپلیکیشن که ارتباطات شبکه را مانیتور می‌کنند، می‌تواند نشان دهد که آیا برنامه در حال ارسال داده به دامنه‌های مشکوک و ناشناخته است یا خیر.

در نهایت، آگاهی از این موضوع که امنیت یک اپلیکیشن تنها به کدنویسی توسعه‌دهنده محدود نمی‌شود، دید وسیع‌تری به کاربران می‌دهد. برنامه‌های جعلی مدرن ممکن است در ظاهر تمام استانداردهای گوگل را رعایت کنند، اما از طریق حفره‌های موجود در کتابخانه‌های جانبی، حریم خصوصی را نقض کنند.

همیشه ترجیح بر این است که از برنامه‌هایی استفاده شود که توسط شرکت‌های بزرگ با تیم‌های امنیتی اختصاصی پشتیبانی می‌شوند.