برای اجرای بازیهای قدیمی در محیط اندروید، لازم است شبیهسازی به منظور پیادهسازی و اجرای بازی وجود داشته باشد و مهاجمان، بدافزار را هنگام نصب برنامه در فایل شبیهساز مخفی کرده و رفتاری مخرب را در قالب برنامهای سالم در فروشگاه اندرویدی منتشر میکنند.
بازیهای قدیمی کنسول، دستهای از برنامههای موجود در فروشگاههای اندرویدی هستند که به دلیل خاطرهانگیز بودن آنها، در بین کاربران اندرویدی طرفداران زیادی دارد. برای اجرای این بازیهای قدیمی در محیط اندروید لازم است شبیهسازی به منظور پیادهسازی و اجرای بازی وجود داشته باشد.
این فایل شبیهساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته میشود تا برنامه شبیهساز را نصب کند. با تایید کاربر، فایل ثانویه شبیهساز روی دستگاه نصب شده و کاربر میتواند بازی کنسول را روی دستگاه اندرویدی خود اجرا کند. اما طبق گزارش مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای)، همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سواستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.
از آنجا که در اغلب این برنامهها، فایل مربوط به شبیهساز، بدون پسوند apk در پوشههای جانبی برنامه اصلی قرار داده شده است، در بررسیهای امنیتی برنامه، توسط فروشگاههای اندرویدی، به وجود چنین فایلی توجه نمیشود و فایل شبیهساز مورد بررسی قرار نمیگیرد. در مجوزهای نمایش داده شده در فروشگاههای اندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده و مجوزهایی که شبیهساز از کاربر میگیرد، ذکر نمیشود. این فرصتی است که مهاجم با استفاده از آن میتواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامهای سالم در فروشگاه اندرویدی منتشر سازد.
علاوه بر این، فایل شبیهساز پس از نصب آیکون خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. حتی با حذف برنامه اصلی نیز، فایل شبیهساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد. تاکنون دهها توسعهدهنده اقدام به انتشار صدها برنامهی از این دست کردهاند که به دلیل گرافیک پایین و عدم جذابیت، این برنامهها در مقایسه با بازیهای پیشرفتهتر نتوانستهاند کاربران زیادی جذب کنند.
رفتار مخرب برنامههای شبیهساز به چه نحو است؟
رفتار مخرب مربوط به این برنامهها، که عموما ساختاری یکسان و تکراری دارند را میتوان به سه دسته تقسیم کرد: استفاده از سرویسهای تبلیغاتی، علاوه بر سرویسهای تبلیغاتی موجود روی برنامه اصلی، دانلود و نصب برنامههای دیگر (بدافزار یا برنامههای دارای سرویسهای ارزش افزوده) و جاسوسی و ارسال اطلاعات کاربر به مهاجم.
توسعهدهندگان بسیاری اقدام به انتشار برنامههایی برای اجرای بازیهای قدیمی کنسول، در فروشگاه اندرویدی کردهاند. برای اجرای این بازیهای قدیمی، کافی است خروجی ROM دستگاههای قدیمی به برنامههایی تحت عنوان «امولاتور» یا «شبیهساز» به عنوان ورودی داده شود. توسعهدهندگان از این روش استفاده کرده و تعداد زیادی بازی قدیمی را در فروشگاهها منتشر کردهاند.
برنامههای منتشرشده پس از نصب روی گوشی کاربر، از کاربر درخواست نصب شبیهساز میکنند تا کاربر بتواند بازی را اجرا کند. کاربر نیز طبیعتا اجازه نصب شبیهساز را داده و بدینترتیب برنامه شبیهساز روی گوشی کاربر نصب میشود. تا به اینجای کار مشکلی وجود ندارد اما مشکل اینجاست که برنامههای شبیهساز نصبشده، همگی توسط توسعهدهندگان ثانویه تغییر یافتهاند و پس از نصب مخفی میشوند و حتی با حذف برنامه بازی اصلی از روی گوشی، شبیهسازها حذف نمیشوند. همچنین شبیهسازها اکثرا اقدام به انجام اعمالی خارج از چارچوب خود میکنند و اعمال مخربی به دور از چشم کاربر انجام میدهند.
چه سوءاستفادههایی میشود؟
برنامههای اصلی و همچنین شبیهسازها اکثرا از سرویسهای تبلیغاتی مختلفی بر بستر خدمات پوشه، چشمک، GCM، FireBase، OneSignal و غیره استفاده میکنند. برنامههای اصلی صرفا از قابلیت ارسال هشدار این سرویسها استفاده میکنند اما شبیهسازها، به دور از چشم بررسیکنندگان برنامههای فروشگاهها، از این سرویسها برای اهدافی مانند باز کردن صفحه ارسال پیامک با متن و شماره مقصد، باز کرده صفحه تماس با یک شماره، باز کردن صفحه یک برنامه در فروشگاههای اندرویدی، نمایش انواع دیالوگهای تبلیغاتی، تبلیغاتی صوتی و حتی ویدیوئی، باز کردن لینک در مرورگر، باز کردن لینک در برنامههای مختلف اینستاگرام، تلگرام (رسمی و غیررسمی) و پیشنهاد عضورت کاربر در کانال یا گروه و نمایش تبلیغات تمامصفحه استفاده میکنند.
برخی برنامههای شبیهساز دسترسیهای حساسی مانند دسترسی به اکانتهای روی گوشی، موقعیت مکانی گوشی و دسترسی به اطلاعات وضعیت گوشی را درخواست و آیکون خود را مخفی میکنند. سپس در پسزمینه اقدام به سرقت اطلاعات کاربران میکنند. برنامه اطلاعات مختلفی را به سرورهای خود ارسال میکند. از جمله اطلاعات حساس میتوان به اطلاعات طول و عرض جغرافیایی گوشی، آدرس آیپی کاربر، IMEI گوشی، نسخه سیستم عامل، نام کاربری حسابهای کاربری گوگل روی گوشی اشاره کرد.
یکی دیگر از اقدامات مشاهده شده در برخی شبیهسازها، دانلود و نصب برنامههای دیگر است. برنامههای ثانویه دانلود شده انواع مختلفی دارند از جمله بدافزارهایی که به صورت خودکار کاربر را عضو سرویس ارزش افزوده میکنند، برنامههایی که برای استفاده از آنها باید عضو سرویس ارزش افزوده شد و یا برنامههای فروشگاههای اندرویدی که توسط توسعه دهنده، سفارش تبلیغ آنها داده شده است.