۵ روش که بدافزارهای اندروید برای انعطاف‌پذیری بیشتر استفاده می‌کنند!

۱۸۸۶به تازگی، تکنیک‌های جدیدی کشف شده که نه تنها به بدافزارهای اندروید کمک می‌کند از تشخیص فرار کنند، بلکه به آن‌ها کمک می‌کنند تا حتی زمانی که تشخیص صورت گرفته است، در حالت نصب باقی بمانند. این تکنیک در بسیاری از خانواده بدافزارها مشاهده شده است. در این پست، یک بررسی کامل از این تکنیک‌ها انجام شده است.

۱.بسته‌بندی:

برنامه‌های کاربردی اندرویدِ بسته‌بندی‌شده، برای مدت طولانی وجود داشتند، اما در بررسی‌ها، روند رو به رشد استفاده از بسته‌بندی در بدافزارهای اندروید را مشاهده کردیم. در ۹ ماه گذشته، نسبت استفاده از بسته‌بندی‌کننده در بدافزارهایی که مشتریان ما با آن روبرو بودند، از ۱۰ درصد به ۲۵ درصد افزایش یافته است.

۲.برنامه‌های کاربردی با پرونده‌ی Dex چندگانه:

برنامه‌های کاربردی اندروید، حاوی کد اجرایی موجود در پرونده‌های Dex هستند. برنامه معمولی اندروید دارای یک پرونده DEX است و تشخیص استاندارد بدافزار بر روی این پرونده، تمرکز دارد. با این حال، شاهد هستیم بیشتر بدافزارهای اندروید، بار داده‌ی خود را بین دو پرونده‌ی Dex تقسیم می‌کنند .این گام ساده می‌تواند به عنوان یک روش گریز در برابر تجزیه و تحلیل ایستا، عمل نماید.

۳.بدافزار مبتنی بر اجرای لحظه‌ای:

اجرای لحظه‌ای یکی از ویژگی‌های منتشر شده در اندروید استودیو ۲.۰ است. این ویژگی به توسعه‌دهندگان اجازه می‌دهد با قرار دادن پرونده‌ی zip. مربوط به به‌روزرسانی در برنامه، برای یک برنامه‌ی اشکال‌یابی به سرعت، به‌روزرسانی‌هایی را توسعه دهند. اخیرا شاهد این موضوع هستیم که نویسندگان بدافزار بخش بار داده‌ی بدافزار خود را در تکه‌های کدی که می‌تواند در پرونده‌های zip. مربوط به اجرای لحظه‌ای مخفی شود، قرار می‌دهند. این رویکرد گریز از تشخیص تنها در نسخه‌ی لالی‌پاپ اندروید و سطوح SDK بعد از آن می‌تواند استفاده شود. این رویکرد برای برنامه‌های گوگل‌پلی نمی‌تواند بکار گرفته شود زیرا این رویکرد بر روی برنامه‌های نسخه‌ی اشکال‌یابی که از طریق بارگیری جانبی نصب شده‌اند، اعمال می‌شود.

۴.پرونده‌های اعلان۱ ناقص و غلط:

یکی دیگر از تکنیک‌هایی که برای دور زدن پویشگرها مشاهده می‌کنیم، استفاده از مقادیر عجیب در پرونده‌های اعلان برنامه (AndroidManifest.xml) و پرونده‌های منابع کامپایل‌شده (resources.arsc) است. این روش می تواند از طریق قرار دادن مقادیر با اندازه‌ی نادرست، مقادیر عجیب در سرآیند پرونده‌ها، قرار دادن داده‌های ناخواسته در استخر رشته‌ها۲ و در پایان پرونده‌ها و ایجاد ناهماهنگی در فضای نام XML باعث فریب و قطع عملکرد پویشگر ایستا شود.

۵.استفاده از دستور chattr برای قفل کردن بدافزار در سامانه:

بدافزاری که داخل یک سامانه امتیازات کاربر ریشه را به دست آورده باشد، حذف کردن آن کار بسیار مشکلی خواهد بود. یکی از تکنیک‌هایی که شاهد آن بودیم این است که بدافزار از مزایای روت لینوکس در اندروید استفاده می‌کند تا نصب بدافزار را داخل سامانه قفل نماید. این تکنیک از دستور chattr فرمان لینوکس استفاده می‌کند. هنگامی که بر روی یک پرونده این دستور استفاده شود، می‌توان از حذف آن حتی با دسترسی ریشه، جلوگیری کرد. بدافزار ابزار chattr را بسته‌بندی کرده و به همراه برنامه رمزنگاری می‌کند و از این ابزار برای رونوشت‌ و قفل بار داده‌ی APK در پوشه‌ی سامانه استفاده می‌کند. در نتیجه‌ی این عملیات، تلاش برای حذف بدافزار مختل خواهد شد.

روش‌های کاهش خطرات

سیمانتک به کاربران برای محافظت در برابر تهدیدات تلفن همراه موارد زیر را توصیه می‌کند:

•نرم‌افزارهای خود را به‌روز نگه دارید.

•برنامه را فقط از منابع قابل اعتمادی همچون گوگل‌پلی بارگیری کنید.

•به مجوزهایی که برنامه‌ها موقع نصب از شما درخواست می‌کنند، توجه کنید.

•برای محافظت از داده و وسیله‌ی خود، یک برنامه‌ی امنیتی مناسب همچون نورتون را نصب کنید.

•از اطلاعات بااهمیت خود چندین بار نسخه‌ی پشتیبان تهیه کنید.

۱. manifest files
۲. string pool

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.