تحلیل آنتیویروسهای نامعتبری که بدافزارند
در حالی که ممکن است بدافزارها و نرمافزارهای مخرب در هر یک از فروشگاههای آنلاین یافت شود، این برنامههای مخرب حتی میتوانند در قالب آنتیویروس هم در برخی از مارکتها وجود داشته باشند.
بسیاری از برنامههایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر میشوند، از روی برنامههای منبع باز ساخته شدهاند. بسیاری از این برنامهها صرفاً با تغییر نام و آیکون بهعنوان برنامههای گوناگون و با هدف استفاده از سرویسهای تبلیغاتی داخل این برنامهها و درآمدزایی برای منتشرکننده برنامه تولید میشوند. این برنامهها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.
اخیرا مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، با همکاری مارکتهای توزیع کننده، درحال شناسایی و مقابله با دستههای مختلف از این اپلیکیشنهاست. برنامههای منتشره تحت عنوان آنتیویروس در مارکتهای اندروید ایرانی مورد بررسی قرار گرفتهاند. بررسی و مقایسه این برنامهها نشان میدهد که عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درآمد از تبلیغات توسعه یافتهاند. نحوهی بررسی تشابه این آنتیویروسها در ابتدا بر اساس تشابه apiهایی که فراخوانی میکردند و سپس برای اطمینان کامل بر اساس بررسی کد و نحوهی عملکرد دقیق برنامهها بوده است.
بر این اساس، حدود ۱۲۰ آنتیویروس منتشرشده در مارکتهای ایرانی جمعآوری و مورد بررسی اولیه قرار گرفتند. در این میان، ۶۰ آنتیویروس با توجه به شباهت بالایی که به یکدیگر داشتند به هفت دسته تقسیم شدند. برنامههای هریک از این دستهها کاملا مشابه یکدیگر هستند. چند نکته جالب در بررسی شباهت آنتیویروسهای بررسیشده مشخص شد؛ مورد اول اینکه آنتیویروسهای معروف مانند کسپراسکای، آویرا، آواست، شباهت بسیار کمی به آنتیویروسهای دیگر داشتند. درحالی که آنتیویروسهای ایرانی و کمتر شناختهشده، عمدتا شباهت نسبتا بالایی به یکدیگر داشتند.
اما درباره رفتار آنتیویروسهای دستهبندیشده بهصورت مختصر میتوان گفت که برخی از یک پایگاه داده آفلاین استفاده میکنند که آن را بهروزرسانی نمیکنند؛ برخی نیز فقط موارد بسیار اولیه همچون مجوزهای برنامهها و یا فرمت فایلهای ذخیرهشده روی دستگاه را بررسی میکنند که این موارد از یک برنامه با عنوان آنتیویروس قابل قبول نیست. برخی از آنها هم اساساً کاری انجام نمیدهند و صرفاً با ظاهرسازی کاربر را فریب میدهند که کار آنتیویروس یا خنککننده پردازنده را انجام میدهند.
تحلیل دستههای مختلف از آنتیویروسهای ایرانی منتشر شده در مارکتهای نشان میدهد که بسیاری از آنها بارها با اسامی مختلف و توسط افراد مختلف منتشر شدهاند، از این رو میتوان نتیجه گرفت که این برنامهها از روی برنامههای منبع باز (open source) ساخته شدهاند و صرفا با تغییر نام و آیکون منتشر شدهاند. در اغلب موارد، هدف از این کار استفاده از سرویسهای تبلیغاتی داخل این برنامهها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویسها تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوشه (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامهها بسیار رایج است.
بر این اساس، برخی از آنتیویروسها با کد یکسان، بیش از ۱۵ بار روی مارکتهای ایرانی منتشر شدهاند. متاسفانه بسیاری از این آنتیویروسها عملکرد درستی برای تشخیص بدافزارهای اندرویدی ندارند و نمیتوانند از دستگاه اندرویدی در برابر تهدیدات دفاع کند. درمجموع این 60 آنتیویروس بیش از یک میلیون نصب داشتند که نشان از گستردگی کار تبلیغاتی و تجاری این برنامهها دارد.
در همین راستا، امیر صفری فروشانی – کارشناس حوزه امنیت سایبری- نیز در پاسخ به اینکه نقش مارکتهای آنلاین در جلوگیری از انتشار برنامههای مخرب چیست، بیان کرد: دو تا مارکت اصلی گوگلپلی و اپلاستور وجود دارد که تا حد زیادی سعی میکنند برنامههایی که مشکلاتی دارند را در فروشگاه خود قرار ندهند، اما بالاخره از دستشان در میرود. به همین دلیل خود کاربر هم باید حواسش را جمع کند.
وی همچنین خاطرشان کرد: در بحث بدافزاری کاربر باید آنتیویروس معتبر و باکیفیت استفاده کند و در بحث حریم شخصی هم علاوه بر استفاده از آنتیویروس مناسب، باید حواسش جمع باشد و سراغ هر برنامهای نرود. همچنین کاربر باید دقت کند که هنگام نصب یک برنامه، چه مجوزهایی از او درخواست میشود و در تنظیمات ببیند که برنامه به چه مواردی از جمله لیست مخاطبان، مرورگر و یا موارد دیگر دسترسی دارد.