نشانه های فعالیت پنهان بدافزارها در گوشی

بدافزارهای موبایل با بهره‌گیری از تکنیک‌های پیشرفته‌ای همچون بارگذاری پویای کد، دستکاری ساختار APK و سوءاستفاده از قوانین سیستمی، فعالیت‌های مخرب خود را از دید کاربر پنهان می‌سازند. تشخیص به‌موقع این تهدیدات خاموش از طریق بررسی نشانه‌ها نخستین گام اساسی در حفظ امنیت و حریم خصوصی دیجیتال کاربران است.
چهارشنبه، 27 خرداد 1405
تخمین زمان مطالعه:
پدیدآورنده: نیر زارع کابدول
موارد بیشتر برای شما
نشانه های فعالیت پنهان بدافزارها در گوشی
در عصری که گوشی‌های هوشمند به ضمیمه‌ای جدایی‌ناپذیر از زندگی روزمره تبدیل شده‌اند، تهدیدات سایبری نیز همگام با این تحول، پیچیده‌تر و پنهان‌تر از همیشه شده‌اند. بدافزارهای موبایل، برخلاف تصور عامه که آنها را با تبلیغات مزاحم یا هنگ‌کردن دستگاه مرتبط می‌دانند، اغلب با هدفی کاملاً متفاوت طراحی می‌شوند: فعالیت در سکوت کامل. مهاجمان سایبری به‌خوبی می‌دانند که ماندگاری یک بدافزار به توانایی آن در پنهان‌ماندن بستگی دارد؛ هرچه کاربر دیرتر متوجه حضور آن شود، اطلاعات بیشتری می‌تواند استخراج شود و کنترل بیشتری بر دستگاه اعمال گردد.

گستردگی این تهدیدات چنان است که در سهماههٔ سوم سال ۲۰۲۵، محققان امنیتی شاهد افزایش ۱۸٫۱۹ درصدی در شناسایی تروجان‌های تبلیغاتی موبایل بوده‌اند. کمپین‌های جاسوسی پیشرفته، مانند بدافزار LANDFALL که از طریق یک تصویر به ظاهر بی‌آزار در واتساپ دستگاه‌های سامسونگ را هدف قرار می‌داد، نشان می‌دهد که حتی بدون نیاز به تعامل کاربر، می‌توان گوشی را آلوده کرد. در سوی دیگر، بدافزارهایی مانند GhostAd با بیش از ۱۵ اپلیکیشن مرتبط و میلیون‌ها نصب، از روش‌هایی هوشمندانه برای پنهان‌سازی فعالیت‌های تبلیغاتی خود در پس‌زمینه استفاده می‌کنند.

سؤال اساسی این است: اگر بدافزارها به‌گونه‌ای طراحی شده‌اند که دیده نشوند، چگونه می‌توان حضور آنها را تشخیص داد؟ پاسخ در شناخت نشانه‌های ظریف اما قابل ردیابی فعالیت پنهان آنها نهفته است. این مقاله به‌عنوان یک راهنمای جامع، تمامی این نشانه‌ها را از ساده‌ترین تا پیشرفته‌ترین سطح، مورد بررسی قرار می‌دهد.


بخش اول: بدافزارهای موبایل و انگیزه‌های پنهان آنها


۱-۱ انواع بدافزارهای موبایل
پیش از پرداختن به نشانه‌های فعالیت، لازم است با انواع اصلی بدافزارهایی که گوشی‌ها را تهدید می‌کنند آشنا شویم:
جاسوس‌افزارها (Spyware): این نوع بدافزارها برای نظارت مخفیانه بر فعالیت‌های کاربر طراحی شده‌اند. آنها می‌توانند پیام‌ها، تماس‌ها، موقعیت مکانی، و حتی صدای میکروفون و تصویر دوربین را بدون آگاهی کاربر ضبط و ارسال کنند. جاسوس‌افزارها اغلب به‌عنوان اپلیکیشن‌های به ظاهر مفید مانند ابزارهای بهینه‌ساز باتری یا برنامه‌های کنترل والدین پنهان می‌شوند.

تروجان‌های بانکی (Banking Trojans): این بدافزارها به‌طور خاص برای سرقت اطلاعات مالی و ورود به حساب‌های بانکی طراحی شده‌اند. بدافزار Herodotus که در سال ۲۰۲۵ شناسایی شد، با تقلید از رفتار انسانی مانند تایپ کردن و کلیک کردن، از سیستم‌های ضدکلاهبرداری مدرن عبور می‌کند. تروجان Lazarus Stealer نیز با حذف آیکون خود و مخفی‌سازی از لیست اپلیکیشن‌های اخیر، فعالیت خود را پنهان می‌کند.

تبلیغ‌افزارها (Adware): این نوع بدافزارها به‌طور پنهان از منابع دستگاه برای نمایش تبلیغات و تولید درآمد برای مهاجمان استفاده می‌کنند. کمپین GhostAd نمونه‌ای بارز از تبلیغ‌افزاری است که با استفاده از سرویس‌های پس‌زمینه، به‌طور مداوم تبلیغات بارگذاری می‌کند و منابع دستگاه را بدون آگاهی کاربر مصرف می‌نماید.

بدافزارهای باج‌افزار (Ransomware): این بدافزارها فایل‌های دستگاه را قفل کرده و برای آزادسازی آنها درخواست باج می‌کنند.

تروجان‌های دسترسی از راه دور (RAT): این بدافزارها کنترل کامل دستگاه را در اختیار مهاجم قرار می‌دهند. SpyMax که از طریق اپلیکیشن‌های جعلی مانند نسخه‌های تقلبی تلگرام توزیع می‌شود، به مهاجمان امکان دسترسی کامل به مخاطبین، پیام‌ها، OTPهای بانکی و محتوای اعلان‌ها را می‌دهد.

۱-۲ انگیزه‌های مهاجمان
درک انگیزه‌های پشت این بدافزارها به ما کمک می‌کند الگوهای فعالیت آنها را بهتر شناسایی کنیم:
  • سرقت مالی: دسترسی به حساب‌های بانکی، کیف پول‌های ارز دیجیتال و اطلاعات کارت‌های اعتباری
  • جاسوسی و نظارت: ردیابی موقعیت، ضبط مکالمات و خواندن پیام‌های خصوصی
  • سرقت هویت: جمع‌آوری اطلاعات شخصی برای افتتاح حساب‌های جدید یا ارتکاب جرم به نام کاربر
  • کلاهبرداری تبلیغاتی: استفاده از منابع دستگاه برای تولید درآمد از طریق تبلیغات پنهان
  • جاسوسی دولتی: هدف قرار دادن فعالان سیاسی، روزنامه‌نگاران و مخالفان


بخش دوم: نشانه‌های ظاهری فعالیت پنهان بدافزارها


۲-۱ کاهش غیرعادی عمر باتری
یکی از رایج‌ترین و قابل‌تشخیص‌ترین نشانه‌های حضور بدافزار، کاهش سریع و غیرعادی عمر باتری است. جاسوس‌افزارها و بدافزارهای دیگر به‌طور مداوم در پس‌زمینه اجرا می‌شوند و از منابع پردازشی دستگاه برای ردیابی فعالیت‌ها و ارسال داده‌ها استفاده می‌کنند.

اگر گوشی شما با وجود استفادهٔ عادی، دیگر یک روز کامل دوام نمی‌آورد، این می‌تواند نشانه‌ای از وجود نرم‌افزارهای نظارتی باشد که باتری را تخلیه می‌کنند. به‌ویژه اگر گوشی در حالت آماده‌باش (idle) نیز به‌سرعت شارژ خود را از دست می‌دهد، احتمال فعالیت بدافزار در پس‌زمینه بسیار بالاست.

تحلیل فنی‌تر: بدافزارهایی مانند GhostAd با ایجاد یک موتور تبلیغاتی persistent در پس‌زمینه، حتی پس از بسته‌شدن اپ یا ریبوت دستگاه، به‌طور مداوم به درخواست و بارگذاری تبلیغات می‌پردازند .این فعالیت مداوم CPU و استفاده از شبکه، مصرف قابل‌توجهی روی باتری ایجاد می‌کند. پژوهشگران حتی روش‌هایی بر پایهٔ هوش مصنوعی برای تشخیص بدافزار از روی الگوی مصرف انرژی ابداع کرده‌اند.

راهکار تشخیص: در تنظیمات گوشی، بخش مصرف باتری را بررسی کنید و اپلیکیشن‌هایی را که مصرف غیرعادی دارند شناسایی کنید.

۲-۲ افزایش مصرف دادهٔ اینترنت
افزایش ناگهانی و غیرقابل‌توضیح مصرف دادهٔ اینترنت، یکی از بزرگترین نشانه‌های هشداردهنده است. جاسوس‌افزارها برای ارسال اطلاعات دزدیده‌شده به سرورهای مهاجم، از پهنای باند دستگاه استفاده می‌کنند. این افزایش مصرف داده ممکن است در قبض تلفن همراه به‌صورت هزینه‌های غیرمنتظره ظاهر شود.

تحلیل فنی‌تر: کمپین GhostAd نمونه‌ای است که مصرف داده را به‌طور پنهان افزایش می‌دهد. این بدافزار با استفاده از سرویس‌های پیش‌زمینه و  JobScheduler، هر چند ثانیه یکبار درخواست تبلیغات ارسال می‌کرده و همین امر باعث مصرف بالای داده می‌شده است .در سوی دیگر، تروجان‌های بانکی مانند Rokarolla با ۱۳۷ دستور مختلف، اطلاعات حساسی همچون PIN، پیام‌های SMS وهمچنین  محتوای کلیپ‌بورد را به سرورهای خود ارسال می‌کنند.

راهکار تشخیص: بررسی دقیق مصرف داده در تنظیمات گوشی و مقایسهٔ آن با الگوی مصرف قبلی می‌تواند سرنخ‌های ارزشمندی ارائه دهد. به اپلیکیشن‌هایی که مصرف دادهٔ بالایی دارند اما به‌ندرت از آنها استفاده می‌کنید، شک کنید.

۲-۳ داغ شدن غیرعادی دستگاه
اگر گوشی شما حتی زمانی که از آن استفاده نمی‌کنید، گرمای غیرعادی تولید می‌کند، این نشانهٔ فعالیت مداوم پردازنده توسط بدافزار است. اجرای عملیات‌های سنگین در پس‌زمینه مانند رمزگشایی داده‌ها، ضبط صدا یا تصویر، یا استخراج رمزارز، مصرف پردازشی بالایی دارد و باعث تولید گرما می‌شود.

تحلیل فنی‌تر: بدافزارهایی که از بارگذاری پویای کد  (Dynamic Code Loading) استفاده می‌کنند، مانند Konfety، باید در زمان اجرا فایل‌های DEX رمزنگاری‌شده را رمزگشایی کرده و در حافظه بارگذاری کنند. این فرآیند رمزگشایی و اجرا، فشار زیادی به پردازنده وارد کرده و باعث گرم شدن دستگاه می‌شود.

راهکار تشخیص: اگر گوشی شما بدون استفادهٔ سنگین (مثلاً بازی) به‌طور مداوم داغ می‌کند، این زنگ خطری جدی است.

۲-۴ کندی عملکرد و هنگ‌کردن دستگاه
کندی غیرعادی در اجرای اپلیکیشن‌ها، هنگ‌کردن‌های مکرر، یا تأخیر در پاسخ‌دهی دستگاه می‌تواند ناشی از مصرف منابع سیستم توسط بدافزار باشد. بدافزارهایی که به‌طور مداوم در پس‌زمینه اجرا می‌شوند، حافظه و پردازنده را اشغال کرده و عملکرد کلی دستگاه را تحت تأثیر قرار می‌دهند.

تحلیل فنی‌تر: کمپین GhostAd با ایجاد یک "حلقهٔ خودترمیم‌شونده" (self-healing loop)  از طریق ترکیب سرویس پیش‌زمینه و  JobScheduler، به‌طور مداوم CPU و حافظه را اشغال می‌کند .حتی اگر سیستم عامل سرویس را terminate کند،  JobScheduler آن را بلافاصله راه‌اندازی مجدد می‌کند .تروجان Rokarolla نیز با اجرای همزمان چندین عملیات مانند کی‌لاگر، screen logger و ضبط صفحه، منابع زیادی مصرف می‌کند.

۲-۵ تبلیغات پاپ‌آپ مزاحم 
ظهور تبلیغات پاپ‌آپی که بسته نمی‌شوند یا به‌طور مکرر نمایش داده می‌شوند، نشانهٔ قطعی آلودگی به تبلیغ‌افزار است. این تبلیغات ممکن است حتی زمانی که هیچ اپلیکیشنی باز نیست، روی صفحه ظاهر شوند یا در مرورگر دستگاه به‌صورت ناخواسته باز شوند.

تحلیل فنی‌تر: کاربران اپلیکیشن‌های آلوده به GhostAd در نظرات خود در گوگل پلی از مشکلاتی مانند تبلیغات پاپ‌آپ  persistent و ناپدید شدن آیکون اپ هنگام تلاش برای حذف نصب شکایت کرده بودند. بدافزار Konfety نیز کاربران را به سایت‌های مخرب هدایت کرده و اعلان‌های جعلی مرورگر را نمایش می‌دهد.

۲-۶ راه‌اندازی مجدد یا خاموش‌شدن خودبه‌خود
راه‌اندازی مجدد یا خاموش‌شدن غیرمنتظرهٔ گوشی می‌تواند ناشی از تداخل کدهای مخرب یا کنترل از راه دور دستگاه توسط هکر باشد. برخی بدافزارها برای اعمال تغییرات یا نصب به‌روزرسانی‌های مخرب، دستگاه را مجدداً راه‌اندازی می‌کنند.

تحلیل فنی‌تر: بدافزار RatOn که از یک ابزار سادهٔ NFC به یک تروجان دسترسی از راه دور (RAT)  پیشرفته تبدیل شده، قابلیت قفل کردن دستگاه و نمایش صفحات باج‌افزاری را دارد این بدافزار می‌تواند دستگاه را قفل کرده و پیام‌های جعلی دربارهٔ فعالیت مجرمانه نمایش دهد.

۲-۷ فعال‌شدن تصادفی دوربین یا میکروفون
اگر چراغ نشانگر دوربین بدون دلیل روشن می‌شود یا در حین مکالمه صداهای غیرعادی پس‌زمینه می‌شنوید، ممکن است جاسوس‌افزاری در حال ضبط محیط شما باشد.
تحلیل فنی‌تر: بدافزار Herodotus که به‌صورت خدمات بدافزار به‌عنوان سرویس (Malware-as-a-Service)  در انجمن‌های زیرزمینی از سپتامبر ۲۰۲۵ به فروش می‌رسیده، قابلیت ضبط اسکرین‌شات و تصویر وب‌کم را دارد. این تروجان با سوءاستفاده از سرویس دسترس‌پذیری (Accessibility API)، کنترل کامل رابط کاربری دستگاه را در اختیار مهاجم قرار می‌دهد.

۲-۸ پیام‌های متنی ارسال‌نشده
دیدن پیام‌های متنی در تاریخچهٔ ارسال که خودتان ارسال نکرده‌اید، نشانهٔ جدی آلودگی است. برخی بدافزارها از پیامک برای انتشار خود به مخاطبین یا دورزدن احراز هویت دو مرحله‌ای استفاده می‌کنند.

تحلیل فنی‌تر: تروجان Lazarus Stealer پس از نصب، مجوزهای نفوذی از جمله نقش پیش‌فرض  SMS را درخواست می‌کند که به آن امکان خواندن، ارسال و حذف پیام‌های SMS از جمله رمزهای یکبارمصرف (OTP) را می‌دهد .تروجان Rokarolla نیز می‌تواند تمام SMS های دستگاه را بخواند و خودش پیام ارسال کند، که برای رهگیری رمزهای تأیید تراکنش‌های بانکی کافی است. این بدافزار حتی می‌تواند خود را به مدیر پیش‌فرض تماس و پیامک تبدیل کند تا تماس‌های هشدار کلاهبرداری را مسدود نماید.
 

بخش سوم: نشانه‌های فنی و سیستمی


۳-۱ اپلیکیشن‌های ناشناخته و مخفی
بررسی لیست کامل اپلیکیشن‌های نصب‌شده در تنظیمات گوشی، یکی از مؤثرترین روش‌های تشخیص بدافزار است. بدافزارهای مدرن اغلب آیکون خود را حذف می‌کنند و نام خود را از لیست اپلیکیشن‌های اخیر پنهان می‌سازند.

تحلیل فنی‌تر با مثال‌های عینی:
Lazarus Stealer: این بدافزار با حذف آیکون خود و خروج از لیست اپلیکیشن‌های اخیر (recent apps list)، اثری از خود بر جای نمی‌گذارد.
Konfety: این بدافزار با کپی‌کردن نام بسته (Package Name) اپلیکیشن‌های قانونی موجود در گوگل پلی، کاربران را فریب می‌دهد، اما پس از نصب، آیکون و نام خود را پنهان می‌کند.
تکنیک دوقلوی شیطانی (Evil Twin): بدافزار Konfety از یک استراتژی دوگانه استفاده می‌کند: یک نسخهٔ بی‌خطر در فروشگاه رسمی و یک نسخهٔ مخرب با همان نام بسته در فروشگاه‌های شخص ثالث.

راهکار تشخیص: برای یافتن این اپلیکیشن‌های مخفی:
در اندروید: تنظیمات > اپلیکیشن‌ها > مشاهدهٔ همهٔ اپلیکیشن‌ها
در iOS: تنظیمات > عمومی > فضای ذخیره‌سازی آیفون و جستجو برای اپلیکیشن‌های ناشناس

۳-۲ دسترسی‌های غیرمجاز
بررسی دسترسی‌های اعطا شده به اپلیکیشن‌ها می‌تواند وجود بدافزار را فاش کند. اگر یک اپلیکیشن ساده مانند چراغ‌قوه به دوربین و میکروفون دسترسی دارد، این یک نشانهٔ هشدار است.

تحلیل فنی‌تر با مثال‌های عینی:
دسترسی‌های خاصی که باید به آنها توجه ویژه داشت:
دسترسی به خدمات دسترس‌پذیری (Accessibility Services): این دسترسی به بدافزار امکان می‌دهد صفحه را بخواند، کلیک‌ها را شبیه‌سازی کند و حتی رمزهای عبور را استخراج نماید.
Herodotus از این دسترسی برای نمایش صفحات جعلی ورود به بانک و رهگیری اطلاعات احراز هویت دو مرحله‌ای استفاده می‌کند.
Rokarolla با سوءاستفاده از این دسترسی، صفحات HTML جعلی را روی اپلیکیشن‌های بانکی قانونی نمایش می‌دهد.
OverlayPhantom نیز از همین روش برای کنترل دستگاه‌ها در ۱۰ کشور استفاده می‌کند.
دسترسی مدیر دستگاه (Device Admin): این دسترسی به بدافزار امکان کنترل سطح بالای دستگاه را می‌دهد.
دسترسی به اعلان‌ها (Notification Access): برای خواندن پیام‌های حساس از جمله OTPهای بانکی.
دسترسی پیش‌فرض SMS: بدافزار Lazarus Stealer برای رهگیری OTPها به این دسترسی نیاز دارد.

۳-۳ اعلان‌های خالی یا عجیب 
برخی بدافزارها از اعلان‌های خالی برای پنهان‌سازی فعالیت خود سوءاستفاده می‌کنند.

تحلیل فنی‌تر با مثال عینی:
اپلیکیشن‌های GhostAd از یک ترفند هوشمندانه استفاده می‌کنند: هر سرویس پیش‌زمینه در اندروید باید یک اعلان نمایش دهد .اما GhostAd یک اعلان خالی و بدون عنوان نمایش می‌دهد که کاربر نمی‌تواند آن را حذف کند یا بفهمد چه کاری انجام می‌دهد. این یک حفرهٔ قانونی در سیستم اندروید است که به ابزاری برای پنهان‌سازی تبدیل شده است.

۳-۴ ترافیک شبکهٔ غیرعادی
یکی از قوی‌ترین نشانه‌های فعالیت بدافزار، ترافیک شبکهٔ غیرعادی است. بدافزارها برای ارسال اطلاعات دزدیده‌شده و دریافت دستورات، با سرورهای مهاجم ارتباط برقرار می‌کنند.

تحلیل فنی‌تر با مثال‌های عینی:
Rokarolla دارای ۱۳۷ دستور از راه دور است و از دامنه‌های فرمان‌وکنترل (C2) متعدد با قابلیت failover استفاده می‌کند.
Lazarus Stealer محتوای فیشینگ را به‌صورت پویا از طریق URLهای WebView از سرور C2 خود بارگذاری کرده و داده‌های دستگاه و SMS را به سرور ارسال می‌کند.
Konfety از CaramelAds SDK برای دریافت تبلیغات، ارسال payloadها و برقراری ارتباط با سرورهای مهاجم استفاده می‌کند.
راهکار تشخیص: بررسی مصرف دادهٔ هر اپلیکیشن به‌صورت جداگانه در تنظیمات گوشی می‌تواند اپلیکیشن‌های مشکوک را شناسایی کند.

۳-۵ تغییرات در تنظیمات سیستم
بدافزارها ممکن است تنظیمات سیستم را تغییر دهند تا بقای خود را تضمین کنند یا شناسایی را دشوارتر سازند.

تحلیل فنی‌تر با مثال‌های عینی:
غیرفعال‌سازی Google Play Protect: تروجان Rokarolla یکی از اولین دستورات خود را به غیرفعال‌سازی Google Play Protect اختصاص می‌دهد تا دفاع اصلی خودکار اکثر کاربران اندروید را از بین ببرد.
فعال‌سازی نصب از منابع ناشناس: برای نصب بدافزارهای بیشتر.
تغییر تنظیمات VPN یا پروکسی: برای هدایت ترافیک از طریق سرورهای مهاجم.  


بخش چهارم: تکنیک‌های پیشرفتهٔ پنهان‌سازی بدافزارها

۴-۱ بارگذاری پویای کد (Dynamic Code Loading) (گسترش)
بسیاری از بدافزارهای پیشرفته، کد مخرب خود را در فایل‌های رمزنگاری شده پنهان می‌کنند که تنها در زمان اجرا (runtime) رمزگشایی و بارگذاری می‌شوند.

تحلیل فنی عمیق با مثال Konfety:
بدافزار Konfety از یک فایل DEX ثانویه و رمزنگاری‌شده در داخل APK استفاده می‌کند که تنها در زمان اجرا رمزگشایی می‌شود. این فایل رمزنگاری‌شده حاوی کامپوننت‌های کلیدی است که در AndroidManifest اعلام شده‌اند اما در کد اصلی وجود ندارند.

مراحل اجرا:
۱. کاربر اپلیکیشن به ظاهر بی‌خطر را نصب می‌کند
۲. در زمان اجرا، بدافزار فایل DEX رمزنگاری‌شده را از assets داخل APK می‌خواند
۳. فایل رمزگشایی شده و در حافظه بارگذاری می‌شود
۴. کد مخرب اجرا شده و فعالیت‌های خود را آغاز می‌کند
این روش باعث می‌شود تحلیل‌های ایستا (static analysis) نتوانند کد مخرب را شناسایی کنند، زیرا کد مخرب تا لحظهٔ اجرا به‌صورت رمزنگاری شده باقی می‌ماند. همچنین این روش امکان بارگذاری ماژول‌های اضافی را در دستگاه آلوده فراهم می‌کند.

۴-۲ دستکاری ساختار فایل APK (گسترش)
بدافزارهای مدرن از تکنیک‌های پیشرفته‌ای برای دستکاری ساختار فایل APK استفاده می‌کنند تا ابزارهای تحلیل امنیتی را گیج کنند.

تحلیل فنی عمیق با مثال Konfety:
۱. پرچم رمزگذاری جعلی (Fake Encryption Flag): بدافزار بیت ۰۰ از پرچم‌های عمومی (General Purpose Flags) را فعال می‌کند که باعث می‌شود ابزارهای تحلیل تصور کنند فایل رمزنگاری شده است و درخواست رمز عبور دهند.
۲. روش فشرده‌سازی پشتیبانی‌نشده: بدافزار از روش فشرده‌سازی BZIP (۰x۰۰۰C) برای فایل AndroidManifest.xml استفاده می‌کند در حالی که فایل در واقع با این الگوریتم فشرده نشده است. این تناقض باعث می‌شود ابزارهای تحلیل مانند APKTool و JADX از کار بیفتند یا نتوانند فایل را به‌درستی تجزیه کنند.
نکتهٔ کلیدی: در حالی که ابزارهای تحلیل امنیتی با این ترفندها از کار می‌افتند، خود اندروید این روش‌ها را نادیده گرفته و فایل را به‌صورت معمولی پردازش می‌کند. این تکنیک نشان می‌دهد که چگونه یک آسیب‌پذیری در سطح ZIP می‌تواند به ابزاری قدرتمند برای فرار از شناسایی تبدیل شود.

۴-۳ تکنیک «دوقلوی شیطانی» (Evil Twin) 
در این روش، بدافزار از نام بسته (Package Name) یک اپلیکیشن قانونی موجود در فروشگاه رسمی استفاده می‌کند، اما نسخهٔ مخرب آن از طریق فروشگاه‌های شخص ثالث توزیع می‌شود.

تحلیل فنی عمیق با مثال Konfety:
بدافزار Konfety از یک استراتژی فریبندهٔ دوگانه استفاده می‌کند:
نسخهٔ بی‌خطر (Benign): در فروشگاه رسمی گوگل پلی موجود است و عملکرد عادی دارد
نسخهٔ مخرب (Malicious): با همان نام بسته در فروشگاه‌های شخص ثالث توزیع می‌شود
کاربران ممکن است به‌دنبال نسخهٔ رایگان یا بدون محدودیت یک اپلیکیشن محبوب باشند و ناخواسته بدافزار را نصب کنند. از آنجا که نام بسته با نسخهٔ قانونی یکی است، کاربران تصور می‌کنند اپلیکیشن معتبری نصب کرده‌اند.

۴-۴ تغییر رفتار بر اساس موقعیت جغرافیایی (Geofencing) 
برخی بدافزارها از موقعیت جغرافیایی دستگاه برای تغییر رفتار خود استفاده می‌کنند.

تحلیل فنی عمیق با مثال:
بدافزار Konfety از geofencing برای تغییر رفتار بر اساس منطقهٔ قربانی استفاده می‌کند. این تکنیک تحلیل و شناسایی بدافزار را برای محققان امنیتی دشوارتر می‌سازد، زیرا بدافزار ممکن است فقط در مناطق خاصی فعال شود یا رفتارهای مخرب خود را در مناطقی که احتمال شناسایی بیشتر است، متوقف کند.
مثال دیگر: کمپین GhostAd عمدتاً کاربران شرق و جنوب‌شرق آسیا به‌ویژه فیلیپین، پاکستان و مالزی را هدف قرار داده بود.

۴-۵ تقلید از رفتار انسانی 
بدافزار Herodotus که در سال ۲۰۲۵ شناسایی شد، از تکنیکی نوآورانه برای عبور از سیستم‌های ضدکلاهبرداری استفاده می‌کند: تقلید از رفتار انسانی。

تحلیل فنی عمیق:
Herodotus به اپراتورهای خود امکان می‌دهد از راه دور روی دستگاه آلوده کلیک، ضربه (swipe) و تایپ کنند و دقیقاً مانند یک کاربر واقعی رفتار نمایند. این تروجان تأخیرهای تصادفی تایپ بین ۳۰۰ تا ۳۰۰۰ میلی‌ثانیه را به‌صورت تصادفی به عملیات خود اضافه می‌کند تا از سیستم‌هایی که سرعت تایپ رباتیک را تشخیص می‌دهند، فرار کند.
این تکنیک تشخیص خودکار فعالیت‌های مخرب را بسیار دشوار می‌سازد، زیرا ترافیک و تعاملات ایجادشده توسط بدافزار از الگوهای انسانی قابل‌تشخیص نیست.
نکتهٔ مهم: Herodotus به‌صورت خدمات بدافزار به‌عنوان سرویس (MaaS) در انجمن‌های زیرزمینی از سپتامبر ۲۰۲۵ به فروش می‌رسیده و از اندروید نسخهٔ ۹ تا ۱۶ پشتیبانی می‌کند.

۴-۶ سوءاستفاده از قوانین سیستمی 
بدافزار GhostAd از یک قانون سیستمی در اندروید سوءاستفاده می‌کند: هر سرویس پیش‌زمینه باید یک اعلان نمایش دهد.

تحلیل فنی عمیق:
GhostAd با نمایش یک اعلان خالی و دائمی، این قانون را رعایت می‌کند اما در عین حال فعالیت خود را از دید کاربر پنهان می‌سازد. این تکنیک نشان می‌دهد که چگونه یک ویژگی قانونی سیستم می‌تواند به ابزاری برای پنهان‌سازی تبدیل شود.
مکانیسم persistence بیشتر: GhostAd علاوه بر سرویس پیش‌زمینه، از یک JobScheduler استفاده می‌کند که وظایف بارگذاری تبلیغات را هر چند ثانیه مجدداً راه‌اندازی می‌کند. ترکیب این دو مکانیسم یک "حلقهٔ خودترمیم‌شونده" ایجاد می‌کند که کاربر عادی قادر به متوقف‌کردن آن نیست.

۴-۷ حذف آیکون و نام اپلیکیشن 
بسیاری از بدافزارها پس از نصب، آیکون خود را از صفحهٔ اصلی حذف کرده و نام خود را از لیست اپلیکیشن‌ها پنهان می‌کنند.
تحلیل فنی عمیق با مثال‌های عینی:
Lazarus Stealer: آیکون خود را حذف کرده و خود را از لیست اپلیکیشن‌های اخیر (recent apps list) حذف می‌کند.
Konfety: پس از نصب، آیکون و نام اپلیکیشن را پنهان می‌کند تا کاربر حتی متوجه وجود آن نشود.
GhostAd: کاربران در نظرات خود در گوگل پلی از ناپدید شدن آیکون اپ هنگام تلاش برای حذف نصب گزارش داده بودند.

 

بخش پنجم: تشخیص و تأیید آلودگی


۵-۱ گام‌های اولیه برای بررسی
۱. فعال‌سازی حالت هواپیما: اولین اقدام در صورت مشکوک‌شدن به آلودگی، فعال‌سازی حالت هواپیما است. این کار ارتباط دستگاه با شبکه را قطع کرده و از ارسال بیشتر اطلاعات به مهاجم جلوگیری می‌کند.
۲. راه‌اندازی در حالت ایمن (Safe Mode): در اندروید، راه‌اندازی در حالت ایمن باعث می‌شود فقط اپلیکیشن‌های سیستمی اجرا شوند و بدافزارهای شخص ثالث غیرفعال گردند. اگر در این حالت مشکلات برطرف شد، احتمالاً یک اپلیکیشن شخص ثالث عامل مشکل است.
۳. بررسی لیست اپلیکیشن‌ها: تمامی اپلیکیشن‌های نصب‌شده را به‌دقت بررسی کنید و هر اپلیکیشن ناشناس یا مشکوک را شناسایی کنید. به‌ویژه به اپلیکیشن‌هایی که آیکون ندارند یا نام آنها با اپلیکیشن‌های معروف یکی است اما عملکرد متفاوتی دارند، شک کنید.
۴. بررسی دسترسی‌ها: دسترسی‌های اعطا شده به هر اپلیکیشن را مرور کنید و دسترسی‌های غیرضروری را لغو نمایید. به دسترسی‌های زیر توجه ویژه داشته باشید:
خدمات دسترس‌پذیری (Accessibility Services)
مدیر دستگاه (Device Admin)
دسترسی به اعلان‌ها (Notification Access)
نقش پیش‌فرض SMS
۵. اسن با آنتی‌ویروس: از یک آنتی‌ویروس معتبر موبایل برای اسن کامل دستگاه استفاده کنید. گوگل پلی پروتکت نیز به‌صورت پیش‌فرض در دستگاه‌های اندرویدی فعال است و اپلیکیشن‌های مخرب را شناسایی می‌کند.

۵-۲ بررسی‌های تخصصی‌تر
بررسی مصرف باتری: در تنظیمات گوشی، مصرف باتری هر اپلیکیشن را بررسی کنید. اپلیکیشن‌هایی که مصرف باتری غیرعادی دارند، مشکوک هستند.
بررسی مصرف داده: مصرف دادهٔ هر اپلیکیشن را بررسی کرده و اپلیکیشن‌های با مصرف دادهٔ غیرعادی را شناسایی کنید.
بررسی اعلان‌ها: اعلان‌های فعال در سیستم را بررسی کنید و به‌دنبال اعلان‌های خالی یا بدون عنوان بگردید که نشانهٔ فعالیت سرویس‌های پیش‌زمینهٔ مخفی است.
بررسی دستگاه‌های مدیریت‌شده: در اندروید، به تنظیمات > امنیت > مدیران دستگاه بروید و ببینید آیا اپلیکیشن ناشناسی به‌عنوان مدیر دستگاه ثبت شده است.
بررسی نام بسته (Package Name): اگر اپلیکیشنی با نام بستهٔ غیرمعمول یا نسخهٔ (version) بسیار بالا مشاهده کردید، مشکوک است. برای مثال، Lazarus Stealer با versionCode و versionName برابر با ۳۰۷۸۸۱ ثبت شده بود که عددی غیرعادی و بالاست.

۵-۳ نشانگان فنی قابل ردیابی (Indicators of Compromise)
محققان امنیتی برای شناسایی بدافزارها از نشانگان فنی قابل ردیابی استفاده می‌کنند که شامل موارد زیر است:
دامنه‌ها و آدرس‌های IP مشکوک: ارتباط با سرورهای کنترل‌کننده (C2)
Rokarolla از دامنه‌های متعدد failover استفاده می‌کند
Lazarus Stealer از WebView URLs برای بارگذاری محتوای فیشینگ استفاده می‌کند
هش (Hash) فایل‌های مخرب: امضای دیجیتال منحصربه‌فرد هر بدافزار
Zimperium هش‌های مرتبط با کمپین Konfety را منتشر کرده است
نام بسته (Package Name): شناسهٔ منحصربه‌فرد اپلیکیشن در اندروید
Herodotus از نام بستهٔ com.cd3.app استفاده می‌کند
Lazarus Stealer از com.lazarus.app استفاده می‌کند
الگوهای ترافیک شبکه: ارتباطات به پورت‌های غیراستاندارد یا پروتکل‌های غیرمعمول
وجود عبارات خاص در کد: برای مثال، بدافزار Konfety دارای عبارت @injseq در کد خود است که در نسخه‌های قبلی نیز مشاهده شده بود.  


بخش ششم: راهکارهای مقابله و پیشگیری


۶-۱ اقدامات فوری در صورت تشخیص بدافزار
۱. قطع ارتباط با شبکه: فعال‌سازی حالت هواپیما برای جلوگیری از ارسال بیشتر اطلاعات.
۲. لغو دسترسی مدیر دستگاه: در اندروید، دسترسی مدیر دستگاه را از اپلیکیشن مشکوک لغو کنید.
۳. حذف اپلیکیشن مشکوک: اپلیکیشن را از تنظیمات گوشی حذف نصب کنید. توجه داشته باشید که برخی بدافزارها مانند GhostAd هنگام تلاش برای حذف، آیکون خود را ناپدید می‌کنند.
۴. اسن کامل با آنتی‌ویروس: از یک آنتی‌ویروس معتبر برای اسن کامل دستگاه استفاده کنید. Google Play Protect نیز به‌صورت خودکار اپلیکیشن‌های شناسایی‌شده را غیرفعال می‌کند.
۵. بازنشانی به تنظیمات کارخانه (Factory Reset): در صورت ادامهٔ مشکل، آخرین راه‌حل بازنشانی کامل دستگاه است. توجه داشته باشید که این کار تمامی داده‌های دستگاه را پاک می‌کند، بنابراین پیش از انجام آن از اطلاعات مهم بکاپ بگیرید.

۶-۲ پیشگیری بلندمدت
۱. نصب فقط از منابع رسمی: اپلیکیشن‌ها را فقط از فروشگاه‌های رسمی مانند گوگل پلی و اپ استور نصب کنید و از نصب فایل‌های APK از منابع ناشناس خودداری نمایید. بسیاری از بدافزارها مانند Konfety از طریق فروشگاه‌های شخص ثالث توزیع می‌شوند.
۲. بررسی دسترسی‌ها پیش از نصب: پیش از نصب هر اپلیکیشن، دسترسی‌های درخواستی آن را به‌دقت بررسی کنید. به اپلیکیشن‌هایی که دسترسی به خدمات دسترس‌پذیری درخواست می‌کنند اما نیازی به آن ندارند، شک کنید.
۳. به‌روزرسانی مداوم سیستم: سیستم‌عامل و اپلیکیشن‌ها را همواره به‌روز نگه دارید. بسیاری از حملات از آسیب‌پذیری‌های پچ‌نشده سوءاستفاده می‌کنند.
۴. فعال‌سازی احراز هویت دو مرحله‌ای: برای حساب‌های مهم خود احراز هویت دو مرحله‌ای را فعال کنید.
۵. استفاده از نرم‌افزار امنیتی موبایل: از یک آنتی‌ویروس معتبر موبایل استفاده کنید که قابلیت تشخیص بلادرنگ (real-time) داشته باشد.
۶. بازبینی دوره‌ای: به‌طور دوره‌ای لیست اپلیکیشن‌ها، دسترسی‌ها و مصرف منابع را بررسی کنید. به دنبال:
اپلیکیشن‌های بدون آیکون
اعلان‌های خالی و persistent
افزایش ناگهانی مصرف باتری یا داده
۷. آگاهی از تهدیدات جدید: بدافزارهای موبایل به‌سرعت در حال تکامل هستند. برای مثال:
RatOn از یک ابزار سادهٔ NFC به یک RAT پیشرفته تبدیل شده است
Herodotus از تکنیک تقلید رفتار انسانی استفاده می‌کند
Rokarolla با ۱۳۷ دستور، یکی از پیچیده‌ترین تروجان‌های بانکی است
 

نتیجه‌گیری

بدافزارهای موبایل به‌گونه‌ای طراحی شده‌اند که در سایهٔ فعالیت‌های روزمرهٔ کاربر پنهان بمانند و ماه‌ها بدون شناسایی به سرقت اطلاعات و جاسوسی ادامه دهند. با این حال، هیچ بدافزاری کاملاً نامرئی نیست. هر فعالیت مخربی، هرچند پنهان، نشانه‌هایی از خود بر جای می‌گذارد که با آگاهی و دقت قابل تشخیص است.

از کاهش غیرعادی عمر باتری و افزایش مصرف داده گرفته تا اپلیکیشن‌های مخفی و ترافیک شبکهٔ مشکوک، تمامی این نشانه‌ها زنگ‌های خطری هستند که نباید نادیده گرفته شوند. بدافزارهای مدرن با تکنیک‌های پیشرفته‌ای مانند بارگذاری پویای کد، دستکاری ساختار APK و تقلید از رفتار انسانی، سعی در فریب سیستم‌های دفاعی دارند.

نکتهٔ کلیدی: تهدیدات موبایل به‌سرعت در حال تکامل هستند. در سال ۲۰۲۶، تروجان‌های بانکی جدیدی مانند Rokarolla با ۱۳۷ دستور ظاهر شده‌اند که از تکنیک‌های مشابهی مانند dropperهای اپلیکیشن جعلی، سوءاستفاده از Accessibility و overlayهای HTML استفاده می‌کنند. در عین حال، بدافزارهایی مانند RatOn قابلیت‌های جدیدی مانند حملهٔ NFC relay و نمایش صفحات باج‌افزاری را به مجموعهٔ خود اضافه کرده‌اند.

در نهایت، بهترین دفاع در برابر بدافزارهای موبایل، ترکیبی از آگاهی، دقت و اقدامات پیشگیرانه است. نصب از منابع معتبر، بررسی دقیق دسترسی‌ها، به‌روزرسانی مداوم سیستم و استفاده از نرم‌افزارهای امنیتی معتبر، سدی محکم در برابر این تهدیدات خاموش ایجاد می‌کند. همان‌طور که یک پزشک با بررسی علائم ظریف به تشخیص بیماری می‌رسد، یک کاربر آگاه نیز با شناخت نشانه‌های فعالیت پنهان بدافزارها، می‌تواند از حریم خصوصی و امنیت دیجیتال خود محافظت کند.
در دنیایی که گوشی‌های هوشمند به بخشی جدایی‌ناپذیر از هویت دیجیتال ما تبدیل شده‌اند، هوشیاری و دانش، قدرتمندترین سلاح در برابر تهدیدات پنهان هستند.
ارسال نظر
با تشکر، نظر شما پس از بررسی و تایید در سایت قرار خواهد گرفت.
متاسفانه در برقراری ارتباط خطایی رخ داده. لطفاً دوباره تلاش کنید.
مقالات مرتبط
موارد بیشتر برای شما
راننده‌ای که کامیونش را وقف برپایی موکب رهبر شهید کرد!
play_arrow
راننده‌ای که کامیونش را وقف برپایی موکب رهبر شهید کرد!
نماهنگ/ "همسایه امام رضا" با نوای محمدرضا و حسین طاهری
play_arrow
نماهنگ/ "همسایه امام رضا" با نوای محمدرضا و حسین طاهری
دسترسی به ابلاغیه‌ها و خدمت قضایی تنها با یک گوشی تلفن همراه!
play_arrow
دسترسی به ابلاغیه‌ها و خدمت قضایی تنها با یک گوشی تلفن همراه!
پاسخ رعدآسای ایران و انفجار در کویت
play_arrow
پاسخ رعدآسای ایران و انفجار در کویت
خلاصه والیبال ایران ۱ - اوکراین ۳
play_arrow
خلاصه والیبال ایران ۱ - اوکراین ۳
روایت حدادعادل از علاقه زیاد رهبر شهید انقلاب به خواندن کتاب
play_arrow
روایت حدادعادل از علاقه زیاد رهبر شهید انقلاب به خواندن کتاب
تصاویر ماهواره‌ای از انهدام تاسیسات آمریکا در مینا عبدالله کویت
play_arrow
تصاویر ماهواره‌ای از انهدام تاسیسات آمریکا در مینا عبدالله کویت
مچ‌گیری سنگین عنصر ضدانقلاب از منشه امیر
play_arrow
مچ‌گیری سنگین عنصر ضدانقلاب از منشه امیر
تصاویر دوربین مدار بسته از جنایتکاری که به دار مجازات آویخته شد
play_arrow
تصاویر دوربین مدار بسته از جنایتکاری که به دار مجازات آویخته شد
یورش شهرک‌نشینان صهیونیست به مسجدالاقصی
play_arrow
یورش شهرک‌نشینان صهیونیست به مسجدالاقصی
بی‌قراریِ داریوش فرضیایی در مراسم خاکسپاری مادرش
play_arrow
بی‌قراریِ داریوش فرضیایی در مراسم خاکسپاری مادرش
شلیک موشک‌های سپاه به سمت مواضع دشمن آمریکایی در منطقه
play_arrow
شلیک موشک‌های سپاه به سمت مواضع دشمن آمریکایی در منطقه
از «نشان جهاد» تا «زکات شجاعت»؛ بررسی ابعاد مختلف جهاد در احادیث معصومان (ع)
از «نشان جهاد» تا «زکات شجاعت»؛ بررسی ابعاد مختلف جهاد در احادیث معصومان (ع)
سرگردانی آهوهای خارک در خیابان‌ها از ترس صدای انفجار
play_arrow
سرگردانی آهوهای خارک در خیابان‌ها از ترس صدای انفجار
تظاهرات آمریکایی‌ها علیه سیاست‌های ضدمهاجرتی ترامپ
play_arrow
تظاهرات آمریکایی‌ها علیه سیاست‌های ضدمهاجرتی ترامپ