گستردگی این تهدیدات چنان است که در سهماههٔ سوم سال ۲۰۲۵، محققان امنیتی شاهد افزایش ۱۸٫۱۹ درصدی در شناسایی تروجانهای تبلیغاتی موبایل بودهاند. کمپینهای جاسوسی پیشرفته، مانند بدافزار LANDFALL که از طریق یک تصویر به ظاهر بیآزار در واتساپ دستگاههای سامسونگ را هدف قرار میداد، نشان میدهد که حتی بدون نیاز به تعامل کاربر، میتوان گوشی را آلوده کرد. در سوی دیگر، بدافزارهایی مانند GhostAd با بیش از ۱۵ اپلیکیشن مرتبط و میلیونها نصب، از روشهایی هوشمندانه برای پنهانسازی فعالیتهای تبلیغاتی خود در پسزمینه استفاده میکنند.
سؤال اساسی این است: اگر بدافزارها بهگونهای طراحی شدهاند که دیده نشوند، چگونه میتوان حضور آنها را تشخیص داد؟ پاسخ در شناخت نشانههای ظریف اما قابل ردیابی فعالیت پنهان آنها نهفته است. این مقاله بهعنوان یک راهنمای جامع، تمامی این نشانهها را از سادهترین تا پیشرفتهترین سطح، مورد بررسی قرار میدهد.
بخش اول: بدافزارهای موبایل و انگیزههای پنهان آنها
۱-۱ انواع بدافزارهای موبایل
پیش از پرداختن به نشانههای فعالیت، لازم است با انواع اصلی بدافزارهایی که گوشیها را تهدید میکنند آشنا شویم:جاسوسافزارها (Spyware): این نوع بدافزارها برای نظارت مخفیانه بر فعالیتهای کاربر طراحی شدهاند. آنها میتوانند پیامها، تماسها، موقعیت مکانی، و حتی صدای میکروفون و تصویر دوربین را بدون آگاهی کاربر ضبط و ارسال کنند. جاسوسافزارها اغلب بهعنوان اپلیکیشنهای به ظاهر مفید مانند ابزارهای بهینهساز باتری یا برنامههای کنترل والدین پنهان میشوند.
تروجانهای بانکی (Banking Trojans): این بدافزارها بهطور خاص برای سرقت اطلاعات مالی و ورود به حسابهای بانکی طراحی شدهاند. بدافزار Herodotus که در سال ۲۰۲۵ شناسایی شد، با تقلید از رفتار انسانی مانند تایپ کردن و کلیک کردن، از سیستمهای ضدکلاهبرداری مدرن عبور میکند. تروجان Lazarus Stealer نیز با حذف آیکون خود و مخفیسازی از لیست اپلیکیشنهای اخیر، فعالیت خود را پنهان میکند.
تبلیغافزارها (Adware): این نوع بدافزارها بهطور پنهان از منابع دستگاه برای نمایش تبلیغات و تولید درآمد برای مهاجمان استفاده میکنند. کمپین GhostAd نمونهای بارز از تبلیغافزاری است که با استفاده از سرویسهای پسزمینه، بهطور مداوم تبلیغات بارگذاری میکند و منابع دستگاه را بدون آگاهی کاربر مصرف مینماید.
بدافزارهای باجافزار (Ransomware): این بدافزارها فایلهای دستگاه را قفل کرده و برای آزادسازی آنها درخواست باج میکنند.
تروجانهای دسترسی از راه دور (RAT): این بدافزارها کنترل کامل دستگاه را در اختیار مهاجم قرار میدهند. SpyMax که از طریق اپلیکیشنهای جعلی مانند نسخههای تقلبی تلگرام توزیع میشود، به مهاجمان امکان دسترسی کامل به مخاطبین، پیامها، OTPهای بانکی و محتوای اعلانها را میدهد.
۱-۲ انگیزههای مهاجمان
درک انگیزههای پشت این بدافزارها به ما کمک میکند الگوهای فعالیت آنها را بهتر شناسایی کنیم:
- سرقت مالی: دسترسی به حسابهای بانکی، کیف پولهای ارز دیجیتال و اطلاعات کارتهای اعتباری
- جاسوسی و نظارت: ردیابی موقعیت، ضبط مکالمات و خواندن پیامهای خصوصی
- سرقت هویت: جمعآوری اطلاعات شخصی برای افتتاح حسابهای جدید یا ارتکاب جرم به نام کاربر
- کلاهبرداری تبلیغاتی: استفاده از منابع دستگاه برای تولید درآمد از طریق تبلیغات پنهان
- جاسوسی دولتی: هدف قرار دادن فعالان سیاسی، روزنامهنگاران و مخالفان
بخش دوم: نشانههای ظاهری فعالیت پنهان بدافزارها
۲-۱ کاهش غیرعادی عمر باتری
یکی از رایجترین و قابلتشخیصترین نشانههای حضور بدافزار، کاهش سریع و غیرعادی عمر باتری است. جاسوسافزارها و بدافزارهای دیگر بهطور مداوم در پسزمینه اجرا میشوند و از منابع پردازشی دستگاه برای ردیابی فعالیتها و ارسال دادهها استفاده میکنند.اگر گوشی شما با وجود استفادهٔ عادی، دیگر یک روز کامل دوام نمیآورد، این میتواند نشانهای از وجود نرمافزارهای نظارتی باشد که باتری را تخلیه میکنند. بهویژه اگر گوشی در حالت آمادهباش (idle) نیز بهسرعت شارژ خود را از دست میدهد، احتمال فعالیت بدافزار در پسزمینه بسیار بالاست.
تحلیل فنیتر: بدافزارهایی مانند GhostAd با ایجاد یک موتور تبلیغاتی persistent در پسزمینه، حتی پس از بستهشدن اپ یا ریبوت دستگاه، بهطور مداوم به درخواست و بارگذاری تبلیغات میپردازند .این فعالیت مداوم CPU و استفاده از شبکه، مصرف قابلتوجهی روی باتری ایجاد میکند. پژوهشگران حتی روشهایی بر پایهٔ هوش مصنوعی برای تشخیص بدافزار از روی الگوی مصرف انرژی ابداع کردهاند.
راهکار تشخیص: در تنظیمات گوشی، بخش مصرف باتری را بررسی کنید و اپلیکیشنهایی را که مصرف غیرعادی دارند شناسایی کنید.
۲-۲ افزایش مصرف دادهٔ اینترنت
افزایش ناگهانی و غیرقابلتوضیح مصرف دادهٔ اینترنت، یکی از بزرگترین نشانههای هشداردهنده است. جاسوسافزارها برای ارسال اطلاعات دزدیدهشده به سرورهای مهاجم، از پهنای باند دستگاه استفاده میکنند. این افزایش مصرف داده ممکن است در قبض تلفن همراه بهصورت هزینههای غیرمنتظره ظاهر شود.تحلیل فنیتر: کمپین GhostAd نمونهای است که مصرف داده را بهطور پنهان افزایش میدهد. این بدافزار با استفاده از سرویسهای پیشزمینه و JobScheduler، هر چند ثانیه یکبار درخواست تبلیغات ارسال میکرده و همین امر باعث مصرف بالای داده میشده است .در سوی دیگر، تروجانهای بانکی مانند Rokarolla با ۱۳۷ دستور مختلف، اطلاعات حساسی همچون PIN، پیامهای SMS وهمچنین محتوای کلیپبورد را به سرورهای خود ارسال میکنند.
راهکار تشخیص: بررسی دقیق مصرف داده در تنظیمات گوشی و مقایسهٔ آن با الگوی مصرف قبلی میتواند سرنخهای ارزشمندی ارائه دهد. به اپلیکیشنهایی که مصرف دادهٔ بالایی دارند اما بهندرت از آنها استفاده میکنید، شک کنید.
۲-۳ داغ شدن غیرعادی دستگاه
اگر گوشی شما حتی زمانی که از آن استفاده نمیکنید، گرمای غیرعادی تولید میکند، این نشانهٔ فعالیت مداوم پردازنده توسط بدافزار است. اجرای عملیاتهای سنگین در پسزمینه مانند رمزگشایی دادهها، ضبط صدا یا تصویر، یا استخراج رمزارز، مصرف پردازشی بالایی دارد و باعث تولید گرما میشود.تحلیل فنیتر: بدافزارهایی که از بارگذاری پویای کد (Dynamic Code Loading) استفاده میکنند، مانند Konfety، باید در زمان اجرا فایلهای DEX رمزنگاریشده را رمزگشایی کرده و در حافظه بارگذاری کنند. این فرآیند رمزگشایی و اجرا، فشار زیادی به پردازنده وارد کرده و باعث گرم شدن دستگاه میشود.
راهکار تشخیص: اگر گوشی شما بدون استفادهٔ سنگین (مثلاً بازی) بهطور مداوم داغ میکند، این زنگ خطری جدی است.
۲-۴ کندی عملکرد و هنگکردن دستگاه
کندی غیرعادی در اجرای اپلیکیشنها، هنگکردنهای مکرر، یا تأخیر در پاسخدهی دستگاه میتواند ناشی از مصرف منابع سیستم توسط بدافزار باشد. بدافزارهایی که بهطور مداوم در پسزمینه اجرا میشوند، حافظه و پردازنده را اشغال کرده و عملکرد کلی دستگاه را تحت تأثیر قرار میدهند.تحلیل فنیتر: کمپین GhostAd با ایجاد یک "حلقهٔ خودترمیمشونده" (self-healing loop) از طریق ترکیب سرویس پیشزمینه و JobScheduler، بهطور مداوم CPU و حافظه را اشغال میکند .حتی اگر سیستم عامل سرویس را terminate کند، JobScheduler آن را بلافاصله راهاندازی مجدد میکند .تروجان Rokarolla نیز با اجرای همزمان چندین عملیات مانند کیلاگر، screen logger و ضبط صفحه، منابع زیادی مصرف میکند.
۲-۵ تبلیغات پاپآپ مزاحم
ظهور تبلیغات پاپآپی که بسته نمیشوند یا بهطور مکرر نمایش داده میشوند، نشانهٔ قطعی آلودگی به تبلیغافزار است. این تبلیغات ممکن است حتی زمانی که هیچ اپلیکیشنی باز نیست، روی صفحه ظاهر شوند یا در مرورگر دستگاه بهصورت ناخواسته باز شوند.تحلیل فنیتر: کاربران اپلیکیشنهای آلوده به GhostAd در نظرات خود در گوگل پلی از مشکلاتی مانند تبلیغات پاپآپ persistent و ناپدید شدن آیکون اپ هنگام تلاش برای حذف نصب شکایت کرده بودند. بدافزار Konfety نیز کاربران را به سایتهای مخرب هدایت کرده و اعلانهای جعلی مرورگر را نمایش میدهد.
۲-۶ راهاندازی مجدد یا خاموششدن خودبهخود
راهاندازی مجدد یا خاموششدن غیرمنتظرهٔ گوشی میتواند ناشی از تداخل کدهای مخرب یا کنترل از راه دور دستگاه توسط هکر باشد. برخی بدافزارها برای اعمال تغییرات یا نصب بهروزرسانیهای مخرب، دستگاه را مجدداً راهاندازی میکنند.تحلیل فنیتر: بدافزار RatOn که از یک ابزار سادهٔ NFC به یک تروجان دسترسی از راه دور (RAT) پیشرفته تبدیل شده، قابلیت قفل کردن دستگاه و نمایش صفحات باجافزاری را دارد این بدافزار میتواند دستگاه را قفل کرده و پیامهای جعلی دربارهٔ فعالیت مجرمانه نمایش دهد.
۲-۷ فعالشدن تصادفی دوربین یا میکروفون
اگر چراغ نشانگر دوربین بدون دلیل روشن میشود یا در حین مکالمه صداهای غیرعادی پسزمینه میشنوید، ممکن است جاسوسافزاری در حال ضبط محیط شما باشد.تحلیل فنیتر: بدافزار Herodotus که بهصورت خدمات بدافزار بهعنوان سرویس (Malware-as-a-Service) در انجمنهای زیرزمینی از سپتامبر ۲۰۲۵ به فروش میرسیده، قابلیت ضبط اسکرینشات و تصویر وبکم را دارد. این تروجان با سوءاستفاده از سرویس دسترسپذیری (Accessibility API)، کنترل کامل رابط کاربری دستگاه را در اختیار مهاجم قرار میدهد.
۲-۸ پیامهای متنی ارسالنشده
دیدن پیامهای متنی در تاریخچهٔ ارسال که خودتان ارسال نکردهاید، نشانهٔ جدی آلودگی است. برخی بدافزارها از پیامک برای انتشار خود به مخاطبین یا دورزدن احراز هویت دو مرحلهای استفاده میکنند.تحلیل فنیتر: تروجان Lazarus Stealer پس از نصب، مجوزهای نفوذی از جمله نقش پیشفرض SMS را درخواست میکند که به آن امکان خواندن، ارسال و حذف پیامهای SMS از جمله رمزهای یکبارمصرف (OTP) را میدهد .تروجان Rokarolla نیز میتواند تمام SMS های دستگاه را بخواند و خودش پیام ارسال کند، که برای رهگیری رمزهای تأیید تراکنشهای بانکی کافی است. این بدافزار حتی میتواند خود را به مدیر پیشفرض تماس و پیامک تبدیل کند تا تماسهای هشدار کلاهبرداری را مسدود نماید.
بخش سوم: نشانههای فنی و سیستمی
۳-۱ اپلیکیشنهای ناشناخته و مخفی
بررسی لیست کامل اپلیکیشنهای نصبشده در تنظیمات گوشی، یکی از مؤثرترین روشهای تشخیص بدافزار است. بدافزارهای مدرن اغلب آیکون خود را حذف میکنند و نام خود را از لیست اپلیکیشنهای اخیر پنهان میسازند.تحلیل فنیتر با مثالهای عینی:
Lazarus Stealer: این بدافزار با حذف آیکون خود و خروج از لیست اپلیکیشنهای اخیر (recent apps list)، اثری از خود بر جای نمیگذارد.
Konfety: این بدافزار با کپیکردن نام بسته (Package Name) اپلیکیشنهای قانونی موجود در گوگل پلی، کاربران را فریب میدهد، اما پس از نصب، آیکون و نام خود را پنهان میکند.
تکنیک دوقلوی شیطانی (Evil Twin): بدافزار Konfety از یک استراتژی دوگانه استفاده میکند: یک نسخهٔ بیخطر در فروشگاه رسمی و یک نسخهٔ مخرب با همان نام بسته در فروشگاههای شخص ثالث.
راهکار تشخیص: برای یافتن این اپلیکیشنهای مخفی:
در اندروید: تنظیمات > اپلیکیشنها > مشاهدهٔ همهٔ اپلیکیشنها
در iOS: تنظیمات > عمومی > فضای ذخیرهسازی آیفون و جستجو برای اپلیکیشنهای ناشناس
۳-۲ دسترسیهای غیرمجاز
بررسی دسترسیهای اعطا شده به اپلیکیشنها میتواند وجود بدافزار را فاش کند. اگر یک اپلیکیشن ساده مانند چراغقوه به دوربین و میکروفون دسترسی دارد، این یک نشانهٔ هشدار است.تحلیل فنیتر با مثالهای عینی:
دسترسیهای خاصی که باید به آنها توجه ویژه داشت:
دسترسی به خدمات دسترسپذیری (Accessibility Services): این دسترسی به بدافزار امکان میدهد صفحه را بخواند، کلیکها را شبیهسازی کند و حتی رمزهای عبور را استخراج نماید.
Herodotus از این دسترسی برای نمایش صفحات جعلی ورود به بانک و رهگیری اطلاعات احراز هویت دو مرحلهای استفاده میکند.
Rokarolla با سوءاستفاده از این دسترسی، صفحات HTML جعلی را روی اپلیکیشنهای بانکی قانونی نمایش میدهد.
OverlayPhantom نیز از همین روش برای کنترل دستگاهها در ۱۰ کشور استفاده میکند.
دسترسی مدیر دستگاه (Device Admin): این دسترسی به بدافزار امکان کنترل سطح بالای دستگاه را میدهد.
دسترسی به اعلانها (Notification Access): برای خواندن پیامهای حساس از جمله OTPهای بانکی.
دسترسی پیشفرض SMS: بدافزار Lazarus Stealer برای رهگیری OTPها به این دسترسی نیاز دارد.
۳-۳ اعلانهای خالی یا عجیب
برخی بدافزارها از اعلانهای خالی برای پنهانسازی فعالیت خود سوءاستفاده میکنند.تحلیل فنیتر با مثال عینی:
اپلیکیشنهای GhostAd از یک ترفند هوشمندانه استفاده میکنند: هر سرویس پیشزمینه در اندروید باید یک اعلان نمایش دهد .اما GhostAd یک اعلان خالی و بدون عنوان نمایش میدهد که کاربر نمیتواند آن را حذف کند یا بفهمد چه کاری انجام میدهد. این یک حفرهٔ قانونی در سیستم اندروید است که به ابزاری برای پنهانسازی تبدیل شده است.
۳-۴ ترافیک شبکهٔ غیرعادی
یکی از قویترین نشانههای فعالیت بدافزار، ترافیک شبکهٔ غیرعادی است. بدافزارها برای ارسال اطلاعات دزدیدهشده و دریافت دستورات، با سرورهای مهاجم ارتباط برقرار میکنند.تحلیل فنیتر با مثالهای عینی:
Rokarolla دارای ۱۳۷ دستور از راه دور است و از دامنههای فرمانوکنترل (C2) متعدد با قابلیت failover استفاده میکند.
Lazarus Stealer محتوای فیشینگ را بهصورت پویا از طریق URLهای WebView از سرور C2 خود بارگذاری کرده و دادههای دستگاه و SMS را به سرور ارسال میکند.
Konfety از CaramelAds SDK برای دریافت تبلیغات، ارسال payloadها و برقراری ارتباط با سرورهای مهاجم استفاده میکند.
راهکار تشخیص: بررسی مصرف دادهٔ هر اپلیکیشن بهصورت جداگانه در تنظیمات گوشی میتواند اپلیکیشنهای مشکوک را شناسایی کند.
۳-۵ تغییرات در تنظیمات سیستم
بدافزارها ممکن است تنظیمات سیستم را تغییر دهند تا بقای خود را تضمین کنند یا شناسایی را دشوارتر سازند.تحلیل فنیتر با مثالهای عینی:
غیرفعالسازی Google Play Protect: تروجان Rokarolla یکی از اولین دستورات خود را به غیرفعالسازی Google Play Protect اختصاص میدهد تا دفاع اصلی خودکار اکثر کاربران اندروید را از بین ببرد.
فعالسازی نصب از منابع ناشناس: برای نصب بدافزارهای بیشتر.
تغییر تنظیمات VPN یا پروکسی: برای هدایت ترافیک از طریق سرورهای مهاجم.
بخش چهارم: تکنیکهای پیشرفتهٔ پنهانسازی بدافزارها
۴-۱ بارگذاری پویای کد (Dynamic Code Loading) (گسترش)
بسیاری از بدافزارهای پیشرفته، کد مخرب خود را در فایلهای رمزنگاری شده پنهان میکنند که تنها در زمان اجرا (runtime) رمزگشایی و بارگذاری میشوند.تحلیل فنی عمیق با مثال Konfety:
بدافزار Konfety از یک فایل DEX ثانویه و رمزنگاریشده در داخل APK استفاده میکند که تنها در زمان اجرا رمزگشایی میشود. این فایل رمزنگاریشده حاوی کامپوننتهای کلیدی است که در AndroidManifest اعلام شدهاند اما در کد اصلی وجود ندارند.
مراحل اجرا:
۱. کاربر اپلیکیشن به ظاهر بیخطر را نصب میکند
۲. در زمان اجرا، بدافزار فایل DEX رمزنگاریشده را از assets داخل APK میخواند
۳. فایل رمزگشایی شده و در حافظه بارگذاری میشود
۴. کد مخرب اجرا شده و فعالیتهای خود را آغاز میکند
این روش باعث میشود تحلیلهای ایستا (static analysis) نتوانند کد مخرب را شناسایی کنند، زیرا کد مخرب تا لحظهٔ اجرا بهصورت رمزنگاری شده باقی میماند. همچنین این روش امکان بارگذاری ماژولهای اضافی را در دستگاه آلوده فراهم میکند.
۴-۲ دستکاری ساختار فایل APK (گسترش)
بدافزارهای مدرن از تکنیکهای پیشرفتهای برای دستکاری ساختار فایل APK استفاده میکنند تا ابزارهای تحلیل امنیتی را گیج کنند.تحلیل فنی عمیق با مثال Konfety:
۱. پرچم رمزگذاری جعلی (Fake Encryption Flag): بدافزار بیت ۰۰ از پرچمهای عمومی (General Purpose Flags) را فعال میکند که باعث میشود ابزارهای تحلیل تصور کنند فایل رمزنگاری شده است و درخواست رمز عبور دهند.
۲. روش فشردهسازی پشتیبانینشده: بدافزار از روش فشردهسازی BZIP (۰x۰۰۰C) برای فایل AndroidManifest.xml استفاده میکند در حالی که فایل در واقع با این الگوریتم فشرده نشده است. این تناقض باعث میشود ابزارهای تحلیل مانند APKTool و JADX از کار بیفتند یا نتوانند فایل را بهدرستی تجزیه کنند.
نکتهٔ کلیدی: در حالی که ابزارهای تحلیل امنیتی با این ترفندها از کار میافتند، خود اندروید این روشها را نادیده گرفته و فایل را بهصورت معمولی پردازش میکند. این تکنیک نشان میدهد که چگونه یک آسیبپذیری در سطح ZIP میتواند به ابزاری قدرتمند برای فرار از شناسایی تبدیل شود.
۴-۳ تکنیک «دوقلوی شیطانی» (Evil Twin)
در این روش، بدافزار از نام بسته (Package Name) یک اپلیکیشن قانونی موجود در فروشگاه رسمی استفاده میکند، اما نسخهٔ مخرب آن از طریق فروشگاههای شخص ثالث توزیع میشود.تحلیل فنی عمیق با مثال Konfety:
بدافزار Konfety از یک استراتژی فریبندهٔ دوگانه استفاده میکند:
نسخهٔ بیخطر (Benign): در فروشگاه رسمی گوگل پلی موجود است و عملکرد عادی دارد
نسخهٔ مخرب (Malicious): با همان نام بسته در فروشگاههای شخص ثالث توزیع میشود
کاربران ممکن است بهدنبال نسخهٔ رایگان یا بدون محدودیت یک اپلیکیشن محبوب باشند و ناخواسته بدافزار را نصب کنند. از آنجا که نام بسته با نسخهٔ قانونی یکی است، کاربران تصور میکنند اپلیکیشن معتبری نصب کردهاند.
۴-۴ تغییر رفتار بر اساس موقعیت جغرافیایی (Geofencing)
برخی بدافزارها از موقعیت جغرافیایی دستگاه برای تغییر رفتار خود استفاده میکنند.تحلیل فنی عمیق با مثال:
بدافزار Konfety از geofencing برای تغییر رفتار بر اساس منطقهٔ قربانی استفاده میکند. این تکنیک تحلیل و شناسایی بدافزار را برای محققان امنیتی دشوارتر میسازد، زیرا بدافزار ممکن است فقط در مناطق خاصی فعال شود یا رفتارهای مخرب خود را در مناطقی که احتمال شناسایی بیشتر است، متوقف کند.
مثال دیگر: کمپین GhostAd عمدتاً کاربران شرق و جنوبشرق آسیا بهویژه فیلیپین، پاکستان و مالزی را هدف قرار داده بود.
۴-۵ تقلید از رفتار انسانی
بدافزار Herodotus که در سال ۲۰۲۵ شناسایی شد، از تکنیکی نوآورانه برای عبور از سیستمهای ضدکلاهبرداری استفاده میکند: تقلید از رفتار انسانی。تحلیل فنی عمیق:
Herodotus به اپراتورهای خود امکان میدهد از راه دور روی دستگاه آلوده کلیک، ضربه (swipe) و تایپ کنند و دقیقاً مانند یک کاربر واقعی رفتار نمایند. این تروجان تأخیرهای تصادفی تایپ بین ۳۰۰ تا ۳۰۰۰ میلیثانیه را بهصورت تصادفی به عملیات خود اضافه میکند تا از سیستمهایی که سرعت تایپ رباتیک را تشخیص میدهند، فرار کند.
این تکنیک تشخیص خودکار فعالیتهای مخرب را بسیار دشوار میسازد، زیرا ترافیک و تعاملات ایجادشده توسط بدافزار از الگوهای انسانی قابلتشخیص نیست.
نکتهٔ مهم: Herodotus بهصورت خدمات بدافزار بهعنوان سرویس (MaaS) در انجمنهای زیرزمینی از سپتامبر ۲۰۲۵ به فروش میرسیده و از اندروید نسخهٔ ۹ تا ۱۶ پشتیبانی میکند.
۴-۶ سوءاستفاده از قوانین سیستمی
بدافزار GhostAd از یک قانون سیستمی در اندروید سوءاستفاده میکند: هر سرویس پیشزمینه باید یک اعلان نمایش دهد.تحلیل فنی عمیق:
GhostAd با نمایش یک اعلان خالی و دائمی، این قانون را رعایت میکند اما در عین حال فعالیت خود را از دید کاربر پنهان میسازد. این تکنیک نشان میدهد که چگونه یک ویژگی قانونی سیستم میتواند به ابزاری برای پنهانسازی تبدیل شود.
مکانیسم persistence بیشتر: GhostAd علاوه بر سرویس پیشزمینه، از یک JobScheduler استفاده میکند که وظایف بارگذاری تبلیغات را هر چند ثانیه مجدداً راهاندازی میکند. ترکیب این دو مکانیسم یک "حلقهٔ خودترمیمشونده" ایجاد میکند که کاربر عادی قادر به متوقفکردن آن نیست.
۴-۷ حذف آیکون و نام اپلیکیشن
بسیاری از بدافزارها پس از نصب، آیکون خود را از صفحهٔ اصلی حذف کرده و نام خود را از لیست اپلیکیشنها پنهان میکنند.تحلیل فنی عمیق با مثالهای عینی:
Lazarus Stealer: آیکون خود را حذف کرده و خود را از لیست اپلیکیشنهای اخیر (recent apps list) حذف میکند.
Konfety: پس از نصب، آیکون و نام اپلیکیشن را پنهان میکند تا کاربر حتی متوجه وجود آن نشود.
GhostAd: کاربران در نظرات خود در گوگل پلی از ناپدید شدن آیکون اپ هنگام تلاش برای حذف نصب گزارش داده بودند.
بخش پنجم: تشخیص و تأیید آلودگی
۵-۱ گامهای اولیه برای بررسی
۱. فعالسازی حالت هواپیما: اولین اقدام در صورت مشکوکشدن به آلودگی، فعالسازی حالت هواپیما است. این کار ارتباط دستگاه با شبکه را قطع کرده و از ارسال بیشتر اطلاعات به مهاجم جلوگیری میکند.۲. راهاندازی در حالت ایمن (Safe Mode): در اندروید، راهاندازی در حالت ایمن باعث میشود فقط اپلیکیشنهای سیستمی اجرا شوند و بدافزارهای شخص ثالث غیرفعال گردند. اگر در این حالت مشکلات برطرف شد، احتمالاً یک اپلیکیشن شخص ثالث عامل مشکل است.
۳. بررسی لیست اپلیکیشنها: تمامی اپلیکیشنهای نصبشده را بهدقت بررسی کنید و هر اپلیکیشن ناشناس یا مشکوک را شناسایی کنید. بهویژه به اپلیکیشنهایی که آیکون ندارند یا نام آنها با اپلیکیشنهای معروف یکی است اما عملکرد متفاوتی دارند، شک کنید.
۴. بررسی دسترسیها: دسترسیهای اعطا شده به هر اپلیکیشن را مرور کنید و دسترسیهای غیرضروری را لغو نمایید. به دسترسیهای زیر توجه ویژه داشته باشید:
خدمات دسترسپذیری (Accessibility Services)
مدیر دستگاه (Device Admin)
دسترسی به اعلانها (Notification Access)
نقش پیشفرض SMS
۵. اسن با آنتیویروس: از یک آنتیویروس معتبر موبایل برای اسن کامل دستگاه استفاده کنید. گوگل پلی پروتکت نیز بهصورت پیشفرض در دستگاههای اندرویدی فعال است و اپلیکیشنهای مخرب را شناسایی میکند.
۵-۲ بررسیهای تخصصیتر
بررسی مصرف باتری: در تنظیمات گوشی، مصرف باتری هر اپلیکیشن را بررسی کنید. اپلیکیشنهایی که مصرف باتری غیرعادی دارند، مشکوک هستند.بررسی مصرف داده: مصرف دادهٔ هر اپلیکیشن را بررسی کرده و اپلیکیشنهای با مصرف دادهٔ غیرعادی را شناسایی کنید.
بررسی اعلانها: اعلانهای فعال در سیستم را بررسی کنید و بهدنبال اعلانهای خالی یا بدون عنوان بگردید که نشانهٔ فعالیت سرویسهای پیشزمینهٔ مخفی است.
بررسی دستگاههای مدیریتشده: در اندروید، به تنظیمات > امنیت > مدیران دستگاه بروید و ببینید آیا اپلیکیشن ناشناسی بهعنوان مدیر دستگاه ثبت شده است.
بررسی نام بسته (Package Name): اگر اپلیکیشنی با نام بستهٔ غیرمعمول یا نسخهٔ (version) بسیار بالا مشاهده کردید، مشکوک است. برای مثال، Lazarus Stealer با versionCode و versionName برابر با ۳۰۷۸۸۱ ثبت شده بود که عددی غیرعادی و بالاست.
۵-۳ نشانگان فنی قابل ردیابی (Indicators of Compromise)
محققان امنیتی برای شناسایی بدافزارها از نشانگان فنی قابل ردیابی استفاده میکنند که شامل موارد زیر است:دامنهها و آدرسهای IP مشکوک: ارتباط با سرورهای کنترلکننده (C2)
Rokarolla از دامنههای متعدد failover استفاده میکند
Lazarus Stealer از WebView URLs برای بارگذاری محتوای فیشینگ استفاده میکند
هش (Hash) فایلهای مخرب: امضای دیجیتال منحصربهفرد هر بدافزار
Zimperium هشهای مرتبط با کمپین Konfety را منتشر کرده است
نام بسته (Package Name): شناسهٔ منحصربهفرد اپلیکیشن در اندروید
Herodotus از نام بستهٔ com.cd3.app استفاده میکند
Lazarus Stealer از com.lazarus.app استفاده میکند
الگوهای ترافیک شبکه: ارتباطات به پورتهای غیراستاندارد یا پروتکلهای غیرمعمول
وجود عبارات خاص در کد: برای مثال، بدافزار Konfety دارای عبارت @injseq در کد خود است که در نسخههای قبلی نیز مشاهده شده بود.
بخش ششم: راهکارهای مقابله و پیشگیری
۶-۱ اقدامات فوری در صورت تشخیص بدافزار
۱. قطع ارتباط با شبکه: فعالسازی حالت هواپیما برای جلوگیری از ارسال بیشتر اطلاعات.۲. لغو دسترسی مدیر دستگاه: در اندروید، دسترسی مدیر دستگاه را از اپلیکیشن مشکوک لغو کنید.
۳. حذف اپلیکیشن مشکوک: اپلیکیشن را از تنظیمات گوشی حذف نصب کنید. توجه داشته باشید که برخی بدافزارها مانند GhostAd هنگام تلاش برای حذف، آیکون خود را ناپدید میکنند.
۴. اسن کامل با آنتیویروس: از یک آنتیویروس معتبر برای اسن کامل دستگاه استفاده کنید. Google Play Protect نیز بهصورت خودکار اپلیکیشنهای شناساییشده را غیرفعال میکند.
۵. بازنشانی به تنظیمات کارخانه (Factory Reset): در صورت ادامهٔ مشکل، آخرین راهحل بازنشانی کامل دستگاه است. توجه داشته باشید که این کار تمامی دادههای دستگاه را پاک میکند، بنابراین پیش از انجام آن از اطلاعات مهم بکاپ بگیرید.
۶-۲ پیشگیری بلندمدت
۱. نصب فقط از منابع رسمی: اپلیکیشنها را فقط از فروشگاههای رسمی مانند گوگل پلی و اپ استور نصب کنید و از نصب فایلهای APK از منابع ناشناس خودداری نمایید. بسیاری از بدافزارها مانند Konfety از طریق فروشگاههای شخص ثالث توزیع میشوند.۲. بررسی دسترسیها پیش از نصب: پیش از نصب هر اپلیکیشن، دسترسیهای درخواستی آن را بهدقت بررسی کنید. به اپلیکیشنهایی که دسترسی به خدمات دسترسپذیری درخواست میکنند اما نیازی به آن ندارند، شک کنید.
۳. بهروزرسانی مداوم سیستم: سیستمعامل و اپلیکیشنها را همواره بهروز نگه دارید. بسیاری از حملات از آسیبپذیریهای پچنشده سوءاستفاده میکنند.
۴. فعالسازی احراز هویت دو مرحلهای: برای حسابهای مهم خود احراز هویت دو مرحلهای را فعال کنید.
۵. استفاده از نرمافزار امنیتی موبایل: از یک آنتیویروس معتبر موبایل استفاده کنید که قابلیت تشخیص بلادرنگ (real-time) داشته باشد.
۶. بازبینی دورهای: بهطور دورهای لیست اپلیکیشنها، دسترسیها و مصرف منابع را بررسی کنید. به دنبال:
اپلیکیشنهای بدون آیکون
اعلانهای خالی و persistent
افزایش ناگهانی مصرف باتری یا داده
۷. آگاهی از تهدیدات جدید: بدافزارهای موبایل بهسرعت در حال تکامل هستند. برای مثال:
RatOn از یک ابزار سادهٔ NFC به یک RAT پیشرفته تبدیل شده است
Herodotus از تکنیک تقلید رفتار انسانی استفاده میکند
Rokarolla با ۱۳۷ دستور، یکی از پیچیدهترین تروجانهای بانکی است
نتیجهگیری
بدافزارهای موبایل بهگونهای طراحی شدهاند که در سایهٔ فعالیتهای روزمرهٔ کاربر پنهان بمانند و ماهها بدون شناسایی به سرقت اطلاعات و جاسوسی ادامه دهند. با این حال، هیچ بدافزاری کاملاً نامرئی نیست. هر فعالیت مخربی، هرچند پنهان، نشانههایی از خود بر جای میگذارد که با آگاهی و دقت قابل تشخیص است.از کاهش غیرعادی عمر باتری و افزایش مصرف داده گرفته تا اپلیکیشنهای مخفی و ترافیک شبکهٔ مشکوک، تمامی این نشانهها زنگهای خطری هستند که نباید نادیده گرفته شوند. بدافزارهای مدرن با تکنیکهای پیشرفتهای مانند بارگذاری پویای کد، دستکاری ساختار APK و تقلید از رفتار انسانی، سعی در فریب سیستمهای دفاعی دارند.
نکتهٔ کلیدی: تهدیدات موبایل بهسرعت در حال تکامل هستند. در سال ۲۰۲۶، تروجانهای بانکی جدیدی مانند Rokarolla با ۱۳۷ دستور ظاهر شدهاند که از تکنیکهای مشابهی مانند dropperهای اپلیکیشن جعلی، سوءاستفاده از Accessibility و overlayهای HTML استفاده میکنند. در عین حال، بدافزارهایی مانند RatOn قابلیتهای جدیدی مانند حملهٔ NFC relay و نمایش صفحات باجافزاری را به مجموعهٔ خود اضافه کردهاند.
در نهایت، بهترین دفاع در برابر بدافزارهای موبایل، ترکیبی از آگاهی، دقت و اقدامات پیشگیرانه است. نصب از منابع معتبر، بررسی دقیق دسترسیها، بهروزرسانی مداوم سیستم و استفاده از نرمافزارهای امنیتی معتبر، سدی محکم در برابر این تهدیدات خاموش ایجاد میکند. همانطور که یک پزشک با بررسی علائم ظریف به تشخیص بیماری میرسد، یک کاربر آگاه نیز با شناخت نشانههای فعالیت پنهان بدافزارها، میتواند از حریم خصوصی و امنیت دیجیتال خود محافظت کند.
در دنیایی که گوشیهای هوشمند به بخشی جداییناپذیر از هویت دیجیتال ما تبدیل شدهاند، هوشیاری و دانش، قدرتمندترین سلاح در برابر تهدیدات پنهان هستند.