سپر امنیت بازار

 

سپر امنیت بازار  با استفاده از ابزارهای گوناگون همچون آنتی ویروس‌‌های معتبر، بررسی کارشناسان، گزارش‌های کاربران و نهادهای رسمی، رفتارهای مخرب برنامه‌ها را مداوم و خودکار رصد و شناسایی می‌کند و به کاربرانی که برنامه‌ی مخربی را نصب کرده‌اند، هشدار و پیشنهاد می‌دهد آن برنامه را پاک کنند.
هدف اصلی سپر امنیت بازار جلوگیری از انتشار برنامه‌های مخرب و فعالیت بدافزارها در دستگاه کاربران است.


به طور کلی، سرویس‌های فعلی سپر امنیت به دو دسته‌ی زیر تقسیم می‌شوند:  


تحلیل استاتیک: 

  • جمع‌آوری اطلاعات استاتیک بسته (از جمله Manifest، لیست Activity، لیست API) در هنگام بارگذاری و درخواست بررسی

  • بررسی موارد قابل تشخیص با اطلاعات استاتیک

  • افزودن اطلاعات مربوط به امنیت به فرآیند بررسی دستی برنامه

  • پیدا کردن کتابخانه‌های تبلیغاتی استفاده شده در برنامه

  • پیدا کردن برنامه‌هایی که حاوی یک فایل Apk (بسته‌های پنهان داخلی) هستند.

  • پیدا کردن برنامه‌هایی که دارای بدافزار شناخته شده هستند.
     

تحلیل داینامیک:

  • جمع‌آوری اطلاعات و لاگ‌های اجرای برنامه‌ها

  • تشخیص رفتارهای مخرب برنامه‌ها

  • جمع‌آوری رفتارهای آنلاین برنامه مانند "Push Notification"

 

چه رفتارهایی مخرب هستند؟

 

۱- Backdoor

  • تعریف: کدی که امکان اجرای عملیات خطرناک با قابلیت کنترل از راه دور را روی دستگاه قربانی فراهم می‌کند. شرط اصلی برای اینکه کدی در دسته‌ی Backdoor قرار بگیرد این است که در صورت اجرای خودکار، به نوع دیگری از بدافزار تبدیل شود. به عنوان مثال، اگر برنامه‌‌ای امکان dynamic code loading را داشته باشد و کد بارگذاری شده، پیامک‌های کاربر را استخراج کند، این بدافزار در دسته‌ Backdoor قرار می‌گیرد.

  • پیغام خطا: این برنامه امکان دسترسی غیرمجاز به دستگاه یا داده‌های موجود در آن را فراهم می‌کند. 

۲ - ‌(Billing Fraud (Call/SMS/Toll Fraudlsb_release -a

  • تعریف:‌ برنامه‌‌ای که بدون اطلاع کاربر پیامک ارسال کرده یا تماس تلفنی برقرار می‌کند. 

  • سناریوی نمونه: 

    • عضویت کاربر در سرویس‌های ارزش افزوده. 

  • پیغام خطا: این برنامه می تواند با ارسال پیامک‌های پرهزینه یا ثبت نام در برخی سرویس‌ها، هزینه‌های غیرمجاز را به قبض تلفن همراه شما اضافه کند.

۳- Stalkware

  • تعریف: برنامه‌‌ای که داده‌های شخصی کاربر را بدون اطلاع و رضایت وی ارسال می‌کند. معمولا این کار بدون نمایش هر گونه اعلانی به کاربر مبنی بر جمع‌آوری اطلاعات انجام می‌گیرد. نمونه‌ی قانونی این دسته، برنامه‌هایی است که والدین برای ردیابی فرزندان خود استفاده می‌کنند. اگرچه از این برنامه‌ها نمی‌توان برای ردیابی هیچ فرد دیگری استفاده کرد مگر اینکه اعلانی مبنی بر جمع‌آوری و ارسال اطلاعات حین انتقال اطلاعات به کاربر نمایش داده شود. 

  • سناریوی نمونه: 

    • ‍برنامه‌ای که موقعیت جغرافیایی کاربر را مانیتور کرده و آن را دائما به سرور خود ارسال می‌کند. 

  • پیغام خطا: این برنامه می‌تواند با مانیتور کردن موقعیت جغرافیایی یا فعالیت‌های شما، از شما جاسوسی کند. 

۴- Denial of Service

  • تعریف: برنامه‌ای که بدون اطلاع کاربر، حمله‌ی DoS و یا بخشی از حمله‌ی DDoS به یک منبع یا سیستم خاص را انجام می‌دهد. 

  • سناریوی نمونه: 

    • باز کردن یک لینک خاص در برنامه‌های فول‌جیسون: اگر به طور همزمان تعداد زیادی برنامه یک لینک خاص را باز کنند، می‌توان آن را نوعی حمله DoS به شمار آورد. 

  • پیغام خطا: این برنامه تلاش می‌کند به سایر تلفن‌های همراه یا سیستم‌های کامپیوتری حمله کند. 

۵- Hostile downloader

  • تعریف: برنامه‌ای که به خودی خود مخرب نیست اما بدون اطلاع کاربر، برنامه‌های مخرب دیگر را دانلود و نصب می‌کند. بنابراین مرورگرها و برنامه‌های به‌اشتراک‌گذاری فایل تا زمانی که بدون رضایت و تعامل کاربر فایلی دانلود نکنند، در این دسته قرار نمی‌گیرند. 

  • سناریوی نمونه: 

    • دانلود برنامه در اپ‌های فول‌جیسون 

  • پیغام خطا: این برنامه می‌تواند بدون مجوز کاربر برنامه‌های خطرناک دیگری را نصب کند. 

۶- Non-Android threat:

  • تعریف: برنامه‌ای که برای کاربر یا دستگاه اندرویدی خطری ندارد اما برای سایر پلتفرم‌ها از نظر امنیتی خطرناک است.  

  • سناریوی نمونه: 

    • خطای Backdoor.Win32.WebShell.Gen در آنتی‌ویروس‌ها 

  • پیغام خطا: این برنامه می‌تواند به دستگاه‌های غیراندرویدی آسیب‌ بزند. 

۷- Phishing: 

  • تعریف: این برنامه‌ها وانمود می‌کنند که از منبع معتبری هستند اما اطلاعات احراز هویت یا پرداخت کاربر را جمع‌آوری کرده و به یک Third-party ارسال می‌کنند. علاوه بر این، برنامه‌هایی که این اطلاعات را در حین انتقال آن‌ها جمع‌آوری می‌کنند نیز در این دسته قرار می‌گیرند. معمولا  فیشینگ با هدف جمع‌آوری اطلاعات بانکی کاربر یا اطلاعات حساب‌های کاربر در شبکه‌های اجتماعی و حتی بازی‌ها انجام می‌گیرد. 

  • سناریوی نمونه:‌ 

    • برنامه‌ی پرداخت جعلی دیوار

  • پیغام خطا: این برنامه جعلی است و می‌تواند اطلاعات شخصی شما مانند اطلاعات بانکی و گذرواژه‌ها را سرقت کند. 

۸- Elevated privilege abuse: 

  • تعریف: کدی که integrity سیستم را با شکستن sandbox برنامه، به دست آوردن مجوزهای بیشتر و تغییر یا غیرفعال‌سازی عملکرد امنیتی سیستم به مخاطره می‌اندازد. 

  • پیغام خطا: این برنامه تلاش می‌کند مکانیزم‌های امنیتی اندروید را دور بزند. 

۹- Ransomware: 

  • تعریف: کدی که کنترل همه یا بخشی از سیستم یا داده‌های روی سیستم را در دست گرفته و از کاربر می‌خواهد که در ازای آزادسازی آن مبلغی را پرداخت کند.

  • پیغام خطا: این برنامه می‌تواند دستگاه شما را غیرفعال کرده یا تهدید به افشای اطلاعات شخصی‌تان کند مگر اینکه پول پرداخت کنید. 

۱۰- Rooting: 

  • تعریف: کدی که دستگاه را روت می‌کند. کدهای روت کننده‌ی دستگاه به دو دسته‌ی مخرب و غیرمخرب تقسیم می‌شوند. دسته‌ی غیرمخرب پیش از روت کردن دستگاه به کاربر اطلاع داده و هیچ یک از عملکردهای مربوط به دسته‌های دیگر بدافزارها را ندارند. در حالی که دسته‌ی مخرب پیش از روت کردن دستگاه به کاربر اطلاع نمی‌دهند یا حتی در صورت اطلاع دادن به کاربر، عملیات مخرب موجود در سایر دسته‌های بدافزارها را هم انجام می‌دهند.  

  • پیغام خطا: این برنامه تلاش می‌کند مکانیزم‌های امنیتی اندروید را دور بزند. 

۱۱- Spam: 

  • تعریف: کدی که پیام‌های ناخواسته به مخاطب‌های کاربر ارسال می‌کند یا از دستگاه به عنوان email spam relay استفاده می‌کند. 

  • پیغام خطا: این برنامه می‌تواند با ارسال پیام‌های غیرمجاز سایر افراد را اسپم کند. 

۱۲- Spyware: 

  • تعریف: کدی که بدون اطلاع و رضایت کافی کاربر، اطلاعات شخصی او را منتقل می‌کند. به عنوان مثال، ارسال اطلاعاتی مانند لیست مخاطب‌ها، تصاویر و سایر فایل‌های روی SD card که متعلق به خود برنامه نیستند، لاگ تماس‌ها و لاگ پیامک‌ها به صورت مخفیانه و بدون اطلاع کاربر، در این دسته قرار می‌گیرد. 

  • سناریوی نمونه: 

    • ارسال پسورد اینستاگرام کاربر به سرور برنامه در اپ‌های اینستاگرامی 

    • ارسال رمز پویای کاربر به سرور برنامه در اپ پرداختی

  • پیغام خطا: این برنامه تلاش می‌کند اطلاعات شخصی شما مانند پیامک‌ها، تصاویر، فایل‌های صوتی و تاریخچه‌ی تماس را جاسوسی کند. 

۱۳- Trojan: 

  • تعریف: کدی که به نظر می رسد Benign است، مانند بازی‌هایی که ادعا می‌کنند فقط یک بازی هستند، اما اقدامات نامطلوبی را علیه کاربر انجام می دهند. این دسته معمولا در کنار سایر دسته‌های بدافزارها به کار می‌رود چون تروجان یک مؤلفه‌ی غیرمخرب و یک مؤلفه‌یِ پنهانِ مخرب دارد. به عنوان مثال‌ بازی‌ای که روی گوشی کاربر نصب شده و در پس‌زمینه و بدون اطلاع کاربر Premium SMS message می‌فرستد. 

  • پیغام خطا: این برنامه جعلی است و تلاش می‌کند که کنترل دستگاه شما را در دست گرفته یا داده‌های شما را بدزدد. 

۱۴- Click fraud: 

  • سناریوی نمونه: شبیه‌سازی کلیک کردن روی تبلیغات از طرف کاربر در بدافزارهای شناخته‌ شده‌ی Firen

  • پیغام خطا: این برنامه تلاش می‌کند از دستگاه شما برای کلاهبرداری‌های تبلیغاتی استفاده کند. 

۱۵- Data collection: 

  • تعریف: جمع‌آوری داده‌های کاربر به‌صورت غیرمجاز 

  • سناریوی نمونه: 

    • ارسال اطلاعات مربوط به نصب و حذف برنامه‌ها روی گوشی کاربر ( مثل Broadcast receiver ای که در نسخه‌ قدیم پوشه و پوش‌پل هست). 

  • پیغام خطا: این برنامه داده‌هایی را جمع‌آوری می‌کند که می‌تواند برای ردیابی شما استفاده شود. 

۱۶- Social engineering: 

  • تعریف: استفاده از تکنیک‌های مهندسی اجتماعی برای فریب کاربر 

  • پیغام خطا: این برنامه شبیه به برنامه‌ی دیگری به نظر می‌رسد و ممکن است شما را فریب می دهد تا داده‌های شخصی خود را افشا کنید، از دستگاه شما سو استفاده کند یا برنامه های دیگر را نصب کند. 

۱۷- Disruptive ads: 

  • تعریف:  نمایش تعداد زیادی تبلیغ به نحوی که به تجربه‌ی کاربری آسیب بزند. 

  • سناریوی نمونه: استفاده از تعداد زیادی کتابخانه‌های تبلیغاتی به طور همزمان برای نمایش تبلیغات به کاربر 

  • پیغام خطا: برنامه ممکن است تبلیغاتی با رفتارهای غیر منتظره نمایش دهد. به عنوان مثال، تبلیغاتی که خارج از محیط برنامه برنامه نمایش داده می‌شوند، به راحتی قابل رد کردن توسط کاربر نیستند یا با عملکرد دستگاه تداخل دارند. 

۱۸- دیگر فعالیت‌های مخرب:

  • تعریف: فعالیت‌های مخربی که در هیچ یک از دسته‌های دیگر قرار نمی‌گیرند. 

  • سناریوی نمونه: 

    • پنهان کردن آیکون برنامه 

    • باز کردن یک صفحه‌ی خاص در شبکه‌های اجتماعی بدون تعامل کاربر 

    • استفاده از push notification برای دریافت دستورات از سرور 

    • دسترسی‌های اضافی و بی‌ربط به عملکرد برنامه