مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) وابسته به سازمان فناوری اطلاعات ایران نتایج بررسی های خود را درباره آنتی ویروس های تقلبی و شبه آنتی ویروس های موجود در مارکت های ایرانی منتشر کرد.
اپ استورهای اندرویدی این روزها پر شده اند از انبوهی از اپلیکیشن های تقلبی که یا در حقیقت بد افزارند و یا در عمل کاری را که قول می دهند، نمی کنند. این وسط وقتی پای آنتی ویروس ها و اپلیکیشن های تقلبی وسط می آید موضوع از این هم جدی تر می شود. در واقع همین حالا هم اینترنت پر شده است از انبوه آنتی ویروس های تقلبی. سال پیش وقتی در نتیجه شناسایی بدافزار WannaCry اوج گرفت، شرکت امنیتی RiskIQ اعلام کرد که از میان 4292 اپلیکیشن آنتی ویروس فعال روی اینترنت، 525 تای آن ها در حقیقت بدافزارند. این یعنی از هر 10 برنامه آنتی ویروسی که پیدا می کنید یکی احتمالا تقلبی و بدافزار است. از میان آن اپ ها 55 آپ روی اپ استور خود گوگل قرار داشتند و ما بقی روی اپ استورهای متفرقه قرار گرفته بودند. اپ استورهای داخلی ما هم طبیعتا جزو همین مارکت ها بودند. اما دقیقا وضعیت آنتی ویروس های واقعی و تقلبی موجود روی مارکت های ایرانی چگونه است؟
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) وابسته به وزارت ارتباطات و فناوری گزارشی را تحت عنوان بررسی آنتی ویروس های اندرویدی منتشر شده در مارکت های ایرانی ارائه کرده است که در قالب آن حدود 120 آنتی ویروس منتشر شده در مارکت های ایرانی جمع آوری و مورد بررسی اولیه قرار گرفتند.
براساس گزارش مرکز ماهر، این بررسی نشان می دهد که بسیاری از برنامه هایی که تحت عناوین مختلف در مارکت های اندروید منتشر می شوند از روی برنامه های منبع باز ساخته می شوند. این برنامه ها صرفاً با تغییر نام و آیکون به عنوان برنامه های مختلف منتشر می شوند.
در بسیاری از موارد هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی برای منتشرکننده برنامه است. هرچند این برنامه ها به صورت مداوم توسط افراد مختلف منتشر می شوند در اغلب موارد هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.
در این مستند برنامه های منتشر شده تحت عنوان آنتی ویروس مورد بررسی قرار گرفته اند. بررسی و مقایسه این برنامه ها نشان می دهد که آنها عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درامد از تبلیغات توسعه یافته اند. نحوه بررسی تشابه این آنتی ویروس ها در ابتدا بر اساس تشابه لیست api هایی که فراخوانی می کردند و سپس برای اطمینان کامل، بر اساس بررسی کد و نحوه عملکرد دقیق برنامه ها بوده است.
از میان 120 آنتی ویروس بررسی شده روی مارکت های ایرانی، 60 آنتی ویروس با توجه به شباهت بالایی که به یکدیگر داشتند، به هفت دسته تقسیم شدند. هرکدام از این دسته ها خصوصیات خاص خود را داشتند که در شرح گزارش آمده است.
تحلیل دسته های مختلف از آنتی ویروس های ایرانی منتشر شده در مارکت های نشان می دهد که بسیاری از آنها بارها با اسامی مختلف و توسط افراد مختلف منتشر شده اند، از این رو می توان نتیجه گرفت که این برنامه ها از روی برنامه های منبع باز (اوپن سورس) ساخته شده اند و صرفا با تغییر نام و آیکون منتشر شده اند. در اغلب موارد هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویس ها تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوشه (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامه ها بسیار رایج است.
برخی دیگر از آنتی ویروس ها با کد یکسان بیش از 15 بار روی مارکت های ایرانی منتشر شده اند. متاسفانه بسیاری از این آنتی ویروس ها عملکرد درستی برای تشخیص بدافزارهای اندرویدی ندارند و همه هفت دسته ای که در اینجا بررسی شدند یا کاملا بدون هیچ تحلیلی هستند و یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمی تواند از دستگاه اندرویدی در برابر تهدیدات دفاع کند.
درمجموع این 60 آنتی ویروس بیش از یک میلیون نصب داشتند که نشان از گستردگی کار تبلیغاتی و تجاری این برنامه ها است.
گزارش کامل تحلیل انتی ویروس های تقلبی در مارکت های ایرانی در ادرس https://cert.ir/news/12589 در دسترس است.