نفوذ بدافزارها به بازی‌های اندرویدی

بازی‌های قدیمی کنسول، دسته‌ای از برنامه‌های موجود در فروشگاه‌های اندرویدی هستند که به دلیل خاطره‌انگیز بودن آنها، در بین کاربران اندرویدی طرفداران زیادی دارد. برای اجرای این بازی‌های قدیمی در محیط اندروید لازم است شبیه‌سازی به منظور پیاده‌سازی و اجرای بازی وجود داشته باشد. این فایل شبیه‌ساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته می‌شود تا برنامه شبیه‌ساز را نصب کند. با تایید کاربر، فایل ثانویه شبیه‌ساز روی دستگاه نصب شده و کاربر می‌تواند بازی کنسول را روی دستگاه اندرویدی خود اجرا کند. اما طبق گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای)، همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سوءاستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.

از آنجا که در اغلب این برنامه‌ها، فایل مربوط به شبیه‌ساز، بدون پسوند apk در پوشه‌های جانبی برنامه اصلی قرار داده شده است، در بررسی‌های امنیتی برنامه، توسط فروشگاه‌های اندرویدی، به وجود چنین فایلی توجه نمی‌شود و فایل شبیه‌ساز مورد بررسی قرار نمی‌گیرد. در مجوزهای نمایش‌ داده‌ شده در فروشگاه‌های اندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده و مجوزهایی که شبیه‌ساز از کاربر می‌گیرد، ذکر نمی‌شود. این فرصتی است که مهاجم با استفاده از آن می‌تواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامه‌ای سالم در فروشگاه اندرویدی منتشر سازد. علاوه بر این، فایل شبیه‌ساز پس از نصب آیکون خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. حتی با حذف برنامه اصلی نیز، فایل شبیه‌ساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد. تاکنون ده‌ها توسعه‌دهنده اقدام به انتشار صدها برنامه‌ از این دست کرده‌اند که به دلیل گرافیک پایین و عدم جذابیت، این برنامه‌ها در مقایسه با بازی‌های پیشرفته‌تر نتوانسته‌اند کاربران زیادی جذب کنند.

رفتار مخرب برنامه‌های شبیه‌ساز چگونه است؟

رفتار مخرب مربوط به این برنامه‌ها، که عموما ساختاری یکسان و تکراری دارند را می‌توان به سه دسته تقسیم کرد: استفاده از سرویس‌های تبلیغاتی، علاوه بر سرویس‌های تبلیغاتی موجود روی برنامه اصلی، دانلود و نصب برنامه‌های دیگر (بدافزار یا برنامه‌های دارای سرویس‌های ارزش افزوده) و جاسوسی و ارسال اطلاعات کاربر به مهاجم. توسعه‌دهندگان بسیاری اقدام به انتشار برنامه‌هایی برای اجرای بازی‌های قدیمی کنسول، در فروشگاه اندرویدی کرده‌اند. برای اجرای این بازی‌های قدیمی، کافی است خروجی ROM دستگاه‌های قدیمی به برنامه‌هایی باعنوان «امولاتور» یا «شبیه‌ساز» به‌عنوان ورودی داده شود. توسعه‌دهندگان از این روش استفاده کرده و تعداد زیادی بازی قدیمی را در فروشگاه‌ها منتشر کرده‌اند. برنامه‌های منتشرشده پس از نصب روی گوشی کاربر، از کاربر درخواست نصب شبیه‌ساز می‌کنند تا کاربر بتواند بازی را اجرا کند. کاربر نیز طبیعتا اجازه نصب شبیه‌ساز را داده و به این ‌ترتیب‌ برنامه شبیه‌ساز روی گوشی کاربر نصب می‌شود. تا اینجای کار مشکلی وجود ندارد اما مشکل اینجاست که برنامه‌های شبیه‌ساز نصب‌شده، همگی توسط توسعه‌دهندگان ثانویه تغییر یافته‌اند و پس از نصب مخفی می‌شوند و حتی با حذف برنامه بازی اصلی از روی گوشی، شبیه‌سازها حذف‌ نمی‌شوند. همچنین شبیه‌سازها اکثرا اقدام به انجام اعمالی خارج از چارچوب خود می‌کنند و اعمال مخربی به دور از چشم کاربر انجام می‌دهند.

چه سوءاستفاده‌هایی می‌شود؟

برنامه‌های اصلی و همچنین شبیه‌سازها اکثرا از سرویس‌های تبلیغاتی مختلفی بر بستر خدمات پوشه، چشمک، GCM، FireBase، OneSignal و... استفاده می‌کنند. برنامه‌های اصلی صرفا از قابلیت ارسال هشدار این سرویس‌ها استفاده می‌کنند اما شبیه‌سازها، به دور از چشم بررسی‌کنندگان برنامه‌های فروشگاه‌ها، از این سرویس‌ها برای اهدافی مانند باز کردن صفحه ارسال پیامک با متن و شماره مقصد، باز کردن صفحه تماس با یک شماره، باز کردن صفحه یک برنامه در فروشگاه‌های اندرویدی، نمایش انواع دیالوگ‌های تبلیغاتی، تبلیغاتی صوتی و حتی ویدیوئی، باز کردن لینک در مرورگر، باز کردن لینک در برنامه‌های مختلف اینستاگرام، تلگرام (رسمی و غیررسمی) و پیشنهاد عضویت کاربر در کانال یا گروه و نمایش تبلیغات تمام‌صفحه استفاده می‌کنند. برخی برنامه‌های شبیه‌ساز دسترسی‌های حساسی مانند دسترسی به اکانت‌های روی گوشی، موقعیت مکانی گوشی و دسترسی به اطلاعات وضعیت گوشی را درخواست و آیکون خود را مخفی می‌کنند.

 سپس در پس‌زمینه اقدام به سرقت اطلاعات کاربران می‌کنند. برنامه اطلاعات مختلفی را به سرورهای خود ارسال می‌کند. از جمله اطلاعات حساس می‌توان به اطلاعات طول و عرض جغرافیایی گوشی، آدرس آی‌پی کاربر، IMEI گوشی، نسخه سیستم عامل و نام کاربری حساب‌های کاربری گوگل روی گوشی اشاره کرد. یکی دیگر از اقدامات مشاهده شده‌ در برخی شبیه‌سازها، دانلود و نصب برنامه‌های دیگر است. برنامه‌های ثانویه دانلود شده انواع مختلفی دارند از جمله بدافزارهایی که به‌صورت خودکار کاربر را عضو سرویس ارزش افزوده می‌کنند، برنامه‌هایی که برای استفاده از آنها باید عضو سرویس ارزش افزوده شد یا برنامه‌های فروشگاه‌های اندرویدی که توسط توسعه ‌دهنده، سفارش تبلیغ آنها داده شده است.