تحلیل آنتی‌ویروس‌های نامعتبری که بدافزارند

در حالی که ممکن است بدافزارها و نرم‌افزارهای مخرب در هر یک از فروشگاه‌های آنلاین یافت شود، این برنامه‌های مخرب حتی می‌توانند در قالب آنتی‌ویروس هم در برخی از مارکت‌ها وجود داشته باشند.

موبنا – بسیاری از برنامه‌هایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر می­‌شوند، از روی برنامه‌های منبع باز ساخته شده‌اند. بسیاری از این برنامه‌ها صرفاً با تغییر نام و آیکون به‌عنوان برنامه‌های گوناگون و با هدف استفاده از سرویس­‌های تبلیغاتی داخل این برنامه­‌ها و درآمدزایی برای منتشرکننده برنامه تولید می‌شوند. این برنامه‌ها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.

اخیرا مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای، با همکاری مارکت‌های توزیع کننده‌، درحال شناسایی و مقابله با دسته‌های مختلف از این اپلیکیشن‌هاست. برنامه‌های منتشره تحت عنوان آنتی‌ویروس در مارکت‌های اندروید ایرانی مورد بررسی قرار گرفته‌­اند. بررسی و مقایسه این برنامه‌ها نشان می‌دهد که عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درآمد از تبلیغات توسعه یافته­‌اند. نحوه‌ی بررسی تشابه این آنتی‌ویروس‌ها در ابتدا بر اساس تشابه apiهایی که فراخوانی می‌کردند و سپس برای اطمینان کامل بر اساس بررسی کد و نحوه‌ی عملکرد دقیق برنامه‌ها بوده است.

بر این اساس، حدود ۱۲۰ آنتی‌ویروس منتشرشده در مارکت‌های ایرانی جمع‌آوری و مورد بررسی اولیه قرار گرفتند. در این میان، ۶۰ آنتی‌ویروس با توجه به شباهت بالایی که به یکدیگر داشتند به هفت دسته تقسیم شدند. برنامه‌های هریک از این دسته‌ها کاملا مشابه یکدیگر هستند. چند نکته‌ جالب در بررسی شباهت آنتی‌ویروس‌های بررسی‌شده مشخص شد؛ مورد اول این‌که آنتی‌ویروس‌های معروف مانند کسپراسکای، آویرا، آواست، شباهت بسیار کمی به آنتی‌ویروس‌های دیگر داشتند. درحالی که آنتی‌ویروس‌های ایرانی و کمتر شناخته‌شده، عمدتا شباهت نسبتا بالایی به یکدیگر داشتند.

اما درباره رفتار آنتی‌ویروس‌های دسته‌بندی‌شده به‌صورت مختصر می‌توان گفت که برخی از یک پایگاه داده آفلاین استفاده می‌کنند که آن را به‌روزرسانی نمی‌کنند؛ برخی نیز فقط موارد بسیار اولیه هم‌چون مجوزهای برنامه‌ها و یا فرمت فایل‌های ذخیره‌شده روی دستگاه را بررسی می‌کنند که این موارد از یک برنامه با عنوان آنتی‌ویروس قابل قبول نیست. برخی از آن‌ها هم اساساً کاری انجام نمی‌دهند و صرفاً با ظاهرسازی کاربر را فریب می‌دهند که کار آنتی‌ویروس یا خنک‌کننده پردازنده را انجام می‌دهند.

تحلیل دسته‌های مختلف از آنتی‌ویروس‌های ایرانی منتشر شده در مارکت‌های نشان می‌دهد که بسیاری از آن‌ها بارها با اسامی مختلف و توسط افراد مختلف منتشر شده‌اند، از این رو می‌توان نتیجه گرفت که این برنامه‌ها از روی برنامه‌های منبع باز (open source) ساخته شده‌اند و صرفا با تغییر نام و آیکون منتشر شده‌اند. در اغلب موارد، هدف از این کار استفاده از سرویس‌های تبلیغاتی داخل این برنامه‌ها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویس‌ها تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوشه (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامه‌ها بسیار رایج است.

بر این اساس، برخی از آنتی‌ویروس‌ها با کد یکسان، بیش از ۱۵ بار روی مارکت‌های ایرانی منتشر شده‌اند. متاسفانه بسیاری از این آنتی‌ویروس‌ها عملکرد درستی برای تشخیص بدافزارهای اندرویدی ندارند و نمی‌توانند از دستگاه اندرویدی در برابر تهدیدات دفاع کند. درمجموع این 60 آنتی‌ویروس بیش از یک میلیون نصب داشتند که نشان از گستردگی کار تبلیغاتی و تجاری این برنامه‌ها دارد.

در همین راستا، امیر صفری فروشانی – کارشناس حوزه امنیت سایبری- نیز در پاسخ به این‌که نقش مارکت‌های آنلاین در جلوگیری از انتشار برنامه‌های مخرب چیست، بیان کرد: دو تا مارکت اصلی گوگل‌پلی و اپل‌استور وجود دارد که تا حد زیادی سعی می‌کنند برنامه‌هایی که مشکلاتی دارند را در فروشگاه خود قرار ندهند، اما بالاخره از دستشان در می‌رود. به همین دلیل خود کاربر هم باید حواسش را جمع کند.

وی هم‌چنین خاطرشان کرد: در بحث بدافزاری کاربر باید آنتی‌ویروس معتبر و باکیفیت استفاده کند و در بحث حریم شخصی هم علاوه بر استفاده از آنتی‌ویروس مناسب، باید حواسش جمع باشد و سراغ هر برنامه‌ای نرود. هم‌چنین کاربر باید دقت کند که هنگام نصب یک برنامه، چه مجوزهایی از او درخواست می‌شود و در تنظیمات ببیند که برنامه به چه مواردی از جمله لیست مخاطبان، مرورگر و یا موارد دیگر دسترسی دارد.

 منبع: ایسنا 

نوشته های مشابه

دکمه بازگشت به بالا