کامپيوتر
ورلد براساس گزارش تنظيم شده ژوژيان جيانگ، استاديار علوم کامپيوتر در
دانشگاه ايالتی کاليفرنيای شمالی و تحليلگر امنيتی که وجود ده نرمافزار
آلوده در سرويس آندروئيد ماركت را به گوگل اطلاع دادهبود، اعلام کرد،
گوگل تعداد بيشتری از برنامههای آلوده به بدافزار را از اين سرويس حذف
كرده است.
جيانگ کد آلودهای که نامش را پلانکتون (Plankton) گذاشتهاست، تحليل کرد و نتيجه آنرا در گزارشی به اين آدرس منتشر کرد.
اندرو
برانت، تحليلگر ارشد تهديدها، در شرکت Webroot نيز از کسانی است که
درباره پلانکتون پژوهش کردهاست. به گفته او، پلانکتون میتواند از
راهدور به سرور دستور و کنترل يا C&C (سرنام
Command-And-Control) دسترسی پيدا کند و بار اضافهای را به آن تحميل
کند. پلانکتون همچنين برای انتقال بدافزار موردنظر خود از روشي بسيار
مخفيانه بهره میبرد، چون برخلاف کدهای آلاينده رايجی که ضميمه برنامهها
میشوند، برای بهدست گرفتن کنترل اسمارتفون از ضعفهایبرنامهها
استفاده نمیکند. وقتی شخص برنامه آلوده را نصب میکند، پلانکتون میتواند
فايلهای مورد نياز خود را از سروری که تحت کنترل هکر است، فراخوانی کند
که از آن جمله ميتوان به فايلهایی که میتوانند به يک يا چند ضعف
آندروئيدی که هنوز اصلاحيهگذاری نشدهاند، حمله کنند اشاره كرد.
برانت
اين موضوع را جدی قلمداد میکند. پلانکتون همچنين میتواند در بين
دادههای موجود در اسمارتفون، از جمله در بوکمارکها يا سايتهای
برگزيده کاربر، تاريخچه آنها و صفحه آغازين مرورگر داخلی اسمارتفون
کنکاش کند. همه ده برنامهای که گوگل آنها را پس از گزارش ژيانگ حذف کرد يا افزونه بودند يا کدهای تقلب بازیهای محبوب موبايل از جمله Angry
Birds ساخت شرکت فنلاندی Rovio. هيچيک از اين برنامهها کارکردی را که
مدعیاش بودند، ارائه نمیکردند و درعوض به وسيلهای برای انتقال پلانکتون
تبديل شدهبودند.
پلانکتون
نخستين بدافزار مهاجمی نيست که ژيانگ و تيم او وجود آنرا به گوگل گزارش
دادهاند. ژيانگ در پنجم ژوئن سال جاری، طی تماس با گوگل از شناسایی
برنامههایی خبر داد که به بدافزار DroidKungFu آلوده بودند و در
فروشگاههای نامعتبر آنلاين برنامههای آندروئيدی در چين کشف شدهبودند.
دو روز پس از آن نيز گزارش ديگری را به اطلاع گوگل رساند که موضوع آن
درباره تروجانی موسوم به YZHCSMS بود. بد
افزار DroidKungFu از دو ضعف مشابهی که DroidDream برای نفوذ به
اسمارتفون از آنها استفاده میکرد، بهره میبرد. YZHCSMS نيز در
برنامههایآندروئيدی در بازار آنلاين گوگل و نيز در سايتهای چينی
دانلود برنامهها شناسایی شد. به گفته ژيانگ، برنامههای آلوده به اين
تروجان دست کم به مدت سه ماه در Android Market بودند تا اينکه گوگل
آنها را حذف کرد.
برنامههای
آلاينده به يکی از مشکلات پنهان برای گوگل تبديل شدهاند و از اوايل مارس
امسال، يعنی از زمانی که مشخص شد، پنجاه برنامه ويژه آندروئيد قابليت
انتقال اين بدافزارها به اسمارتفونها و کنترل آنها از راه دور را
دارند، بازار اين سيستمعامل را به نا آرامی کشيدهاند. چندی
پيش نيز گوگل حدود سه يا دوجين برنامه آلوده ديگر را از بازار خود حذف
کرد. به گفته برنت، با اينکه ممکن است گوگل بازاربرنامههای ويژه
سيستمعامل خود را برای آگاهی از وجود بدافزارهای ديگر، باز هم اسکن کند،
اما تا زمانی که يک شرکت ضدويروس برای مشخصکردن بدافزارها آنها را با
امضای ديجيتال متمايز نکند، اين کارها چندان سودمند نخواهند بود. همچنين
با توجه به روند نفوذ بدفزارها به Android Market و در برخی موارد باقی
ماندن چندماهه آنها در آنجا، به نظر میرسد مهندسان گوگل کدهای برنامهها
را پالايش نمیکنند.
او
میافزايد: «بررسی کدها به زمان و تجربه زيادی نياز دارد. برای خودکارسازی
اين فرآيند راهکارهایی وجود دارد، اما با اينهمه باز هم در معدود مواردی
به عامل انسانی نياز داريم تا با توجه به حس و دريافت خود دستورهای برنامه
را بررسی کرده و با توجه به ترتيب آنها بگويد که آيا مورد آلايندهای
وجود دارد يا خير؟» توصيه برنت به دارندگان گوشیهای آندروئيدی اين است که
دقت و درايت داشته باشند. زيرا برنامههای آلوده به پلانکتون رفتارهای
مشکوکی دارند. به عنوان مثال، چرا برنامه مربوط به کدهای جعل بازی
پرندگان خشمگين بايد از کاربر درخواست کند تا به اينترنت متصل شود؟