Droppers راهی که که بدافزار‌های اندرویدی مخفیانه وارد Play Store اندروید می‌شوند

Droppers راهی که که بدافزار‌های اندرویدی مخفیانه وارد Play Store اندروید می‌شوند

در سال‌های گذشته، بدافزار نویسان اندروید به طور فزاینده‌ای روی فریب دادن و دور زدن اسکن‌های امنیتی گوگل و مخفیانه وارد کردن نرم‌افزار‌های مخرب به Play Store آن تاکید کرده‌اند. این فریب به نوعی مشابه تکنیک بدافزار‌های مبتنی بر دسکتاپ است ، که در طول سال گذشته نیز در بازار آندروید متداول شده بود. این تکنیک شامل استفاده از Dropper ها می‌شود که این اصطلاح یک فرآیند آلوده سازی دومرحله‌ای یا چند‌مرحله‌ای است که در مرحله اول نرم افزار مخرب اغلب یک تهدید ساده و با قابلیت‌های محدود هستند و نقش اصلی آن این است که به منظور دریافت تهدیدات قوی‌تر، راهی را از طریق دستگاه برای دریافت بدافزار‌های دیگر پیدا کند. Dropper ها در زمینه‌ی موبایل و تلفن‌های هوشمند بسیار موثر و خطرناک می‌باشند در محیط‌های دسکتاپ Dropper ها خیلی کارآمد نیستند، زیرا استفاده گسترده از آنتی ویروس‌ها ، آنها و همچنین بارگذاری‌های مرحله دومشان را تشخیص می‌دهد ولی در زمینه‌ی موبایل بسیار موثر هستند و این به دلیل آن است که اکثر تلفن‌های همراه از آنتی‌ویروس استفاده نمی‌کنند و هیچ شناساگر تهدیدی روی دستگاه برای تشخیص بارگذاری‌های مرحله دوم آن وجود ندارد. این بدان معنی است که تنها اقدامات امنیتی که در تلفن‌ها قرار دارند ، اسکن‌های امنیتی است که Google قبل از تأیید هر برنامه‌ای که در Play Store قرار دارد ، انجام می‌دهد. نویسندگان بدافزار در سال‌های گذشته متوجه شده‌اند که گوگل کار بسیار سخت و زمانبری را در برداشتن Dropper های پنهان در برنامه‌های قانونی دارد . همچنین، بیشتر عملیات‌های مخرب از طریق این حقه که از تقسیم کد به دو قسمت Dropper و نرم‌افزار مخرب واقعی است ، صورت گرفته‌است. دلیل آن این است که Dropper نیاز به تعداد کمتری از مجوزها دارد و رفتار محدودی را از خود نشان می‌دهد که می‌تواند دیرتر به ‌عنوان نرم افزار مخرب طبقه بندی شود. علاوه بر این، اضافه کردن تایمر که اجرای هر کد مخرب را چند ساعت به تاخیر می‌اندازد کمک می‌کند تا بدافزار در اسکن گوگل شناسایی نشود. این ترفندهای ساده، تکه‌های کوچکی از کد مخرب را در داخل Play Store در همه نوع برنامه‌ها، از دسته‌های مختلف پنهان می‌کند. هنگامی که کاربران برنامه‌ها را اجرا می‌کنند، در اکثر موارد تبلیغاتی آن برنامه اجرا می‌شود، کد مخرب اجرا می‌شود. همچنین Dropper ها درخواست مجوز‌های مختلف می‌کنند و اگر این مجوزها تایید شود، می‌توانند بدافزارهایی قوی‌تر را بارگیری کنند. Dropper بیشترین پشتیبانی را از تروجان‌های بانکداری تلفن همراه می‌کند این ترفند عمدتا توسط نویسندگان بدافزار نسخه‌های Exobot، LokiBot و Mobile BankBot منتشر شده‌است اما در عین حال توسط بسیاری دیگر از نویسندگان بدافزار نیز به تصویب رسیده‌است. محققان امنیتی از ThreatFabric در مورد افزایش استفاده، محبوبیت و کارایی برنامه‌های دارای Dropper در Play Store در ماه مه 2017، اوت 2017، سپتامبر 2017، نوامبر 2017 و ژانویه 2018، از حملات با ابزارهای تروجان اندروید مانندBankBot (Anubis I)، BankBot (Anubis II)، Red Alert 2.0 / 2.1 ، LokiBot و Exobot خبر داده‌اند. در این ماه، این تکنیک باری دیگر در یک گزارش IBM X-Force مورد بررسی قرار گرفت که مربوط به بررسی توزیع بدافزار Anubis II بود که Anubis II یکی از جدیدترین نسخه های BankBot می‌باشد. تیم IBM گفت: این کمپین حداقل 10 برنامه دانلودگر را به عنوان برنامه‌های مخرب لیست کرده است که همه آنها تروجان‌های بانکداری تلفن همراه را بر روی دستگاه‌های مبتنی بر اندروید اجرا می‌کنند و اگرچه تعداد دانلودگرها ممکن است نسبتا کم به نظر برسد ولی هر یک از این برنامه‌ها می‌توانند بیش از 1000 نمونه از سرورهای C&C مخرب را اجرا کنند. DaaS - دانلود کننده به عنوان یک سرویس این روند اخیر استفاده از بدافزارهای مشابه از نوع Dropper (که همچنین به عنوان بدافزار‌های دانلودگر شناخته می‌شوند) کارشناسان IBM را به این باور رسانده که برخی از باندهای سایبری در حال حاضر عملیات "دانلود کننده به عنوان یک سرویس" (DaaS) را اجرا می‌کنند که در آن فضای نصب برنامه‌های Dropper خود را همزمان به گروه‌های دیگر اجاره می‌دهند. این امر توضیح می‌دهد که چرا اکثر Dropper ها یکسان هستند و بارگذاری‌های مختلف و گسترده‌ای را به صورت جمعی از بدافزارها توزیع می‌کنند. به گفته گیتان ون‌ دیمن، محقق امنیتی ThreatFabric که تئوری IBM را درباره سرویس DaaS برای اپراتورهای مخرب اندروید تایید کرد : " در اکوسیستم بدافزاری بانکداری آندروید ، برای مهاجمان امری معمول است که Dropper را از مهاجمان دیگر خریداری کنند و Dropper ها محبوب تر شده‌اند چون اجازه می‌دهند تا توزیع گسترده‌تری از نرم‌افزارهای مخرب و بدافزارها از منابع قابل اعتمادی مثل Play Store انجام گیرد و در نتیجه تعداد بیشتری از قربانیان را به دست می‌آورد و نتیجه‌ی آن یک مدل کسب و کار جدید است که در آن برنامه‌های مخرب و نصب و راه‌اندازی آنها در Play Store به هکرها و مهاجمان فروخته می‌شود. بدافزارهای موبایلی ، از بازار بدافزارهای مبتنی بر دسکتاپ تقلید می کنند در نهایت، این امر تعجب آور نیست، چون این دقیقا همان چیزی است که در بازار بدافزارهای دسکتاپ اتفاق می‌افتد زیرا اجرای عملیات Dropper برای گروه‌‌های مخرب ، کسب و کار مالی قابل ملاحظه‌تری نسبت به اجرای تروجان‌های بانکی واقعی دارد. به عنوان مثال، این هفته سیمانتک یک گزارش منتشر کرد که نشان می‌دهد چگونه تروجان بانکی کمیاب و بسیار خطرناک Emotet به عنوان یک Dropper استفاده می‌شود که در حال حاضر فضای دانلود اجاره می‌دهد و تروجان های بانکی را با تروجان‌هایی که قبلا با آن‌ها کار کرده است توزیع می‌کند. اقدامات متقابل گوگل در مقابل Dropper ها محبوبیت رو به رشد برنامه‌های خرابکار آندروید مثل Dropper یکی از دلایلی است که گوگل سرویس Play Protect را راه اندازی کرده است که یک ویژگی امنیتی ساخته شده در برنامه Play Store است که به طور مداوم برنامه های محلی نصب شده را که در طول روند تایید اعتبار اولیه‌ آنها را بررسی نکرده است، به امید پیدا کردن رفتار و تغییرات مخرب اسکن می‌کند. اما ون دیمن معتقد است : گوگل در حال حاضر در معرض خطر است زیرا مهاجمان انرژی زیادی را برای غیرقابل تشخیص بودن بدافزارها صرف می‌کنند پس تشخیص برنامه‌های شامل Dropper هم به طبع کار خیلی سختی است. به عنوان مثال، کد مخرب برخی از برنامه های Dropper تنها زمانی فعال می‌شوند که یک فرمان از سرور C&C دریافت می‌کنند به این معنی که بدون تاخیر خاص یا اقدامات خاص، رفتار برنامه به نظر خوش بینانه است. در بعضی موارد، بدافزارهای بانکی مخرب تنها بر اساس یک تاخیر خاص یا زمانی که برنامه به شدت در دستگاه استفاده می‌شود فعال می‌شوند ، به عنوان مثال یک بازی. چنین تکنیک‌هایی به اندازه کافی ساده هستند ، اما شناسایی و تشخیص Dropper در محیط‌های تست خودکار خیلی دشوار است. گوگل برای شبیه‌سازی استفاده مداوم برنامه‌ها در مقیاس بزرگ به بررسی‌های مجدد میلیون‌ها برنامه که در Play Store آپلود شده‌اند ، نیاز دارد. اما ون دیمن اشاره می کند : گوگل در هنگام انجام اسکن‌هایش می‌تواند شاخص‌های اضافی فعالیت‌های مخرب را هم بررسی کند و شگفت آور این است که اطلاعات دقیق و فنی در مورد بسیاری از Dropper ها به صورت عمومی در دسترس هستند و می‌تواند به گوگل اجازه دهد تا این برنامه‌ها را با راحتی تشخیص دهد. برای مثال، کمپین Exobot همچنان از همان کد Dropper استفاده می‌‎کند که اولین بار از آن استفاده شده است، پس این اطلاعات هم باید توسط اسکنر داخلی گوگل و یا Google Play Protect مورد استفاده قرار گیرد. با توجه به مشکلاتی که در زمینه ی Dropper ها برای گوگل پیش آمده است نیاز است که برخی از آگاهی رسانی ها بر روی این موضوع مهم مطرح شود.