۵ اپ خطرناک گوگل‌پلی که بی‌صدا از شما جاسوسی می‌کنند!

1404/08/06
13:07:24
16 بازدید
۵ اپ خطرناک گوگل‌پلی که بی‌صدا از شما جاسوسی می‌کنند!

گوشی شما صندوق سیاه زندگی دیجیتالتان است: پیامک‌ها، تماس‌ها، تصاویر و رمزها — همه آن‌جا هستند. در چند سال اخیر محققان امنیتی موجی از اپ‌های «پوششی» را کشف کرده‌اند که با ظاهری بی‌آزار وارد گوگل‌پلی می‌شوند و سپس به‌صورت پنهان داده‌های حساس را استخراج می‌کنند. در این مقاله تحلیلی، پنج خانواده یا نمونهٔ شاخص را معرفی می‌کنیم، روش کار آن‌ها را بررسی می‌کنیم و قدم‌به‌قدم می‌گوییم اگر یکی از این اپ‌ها روی دستگاهتان بود چه کار کنید.

این اپ‌ها می‌توانند پیامک‌ها، تماس‌ها، تصاویر، موقعیت و حتی اسکرین‌شات‌ها را سرقت کنند و به سرورهای ناشناس ارسال کنند. بدافزارها معمولاً با نقاب اپ‌های مفید و سیستم‌گونه وارد دستگاه می‌شوند تا کاربر شک نکند.
 


🌑 چرا باید جدی بگیریم؟
 

  • اولین اشتباه کاربران این است که فکر می‌کنند «فقط اپ‌های ناشناس از وب خطر دارند»؛ در واقع، پژوهش‌ها نشان داده‌اند که حتی اپ‌هایی که از گوگل‌پلی نصب شده‌اند می‌توانند بدافزار یا «لودر» باشند که در مرحلهٔ بعدی ماژول جاسوسی را بارگذاری می‌کنند.

  • برخی خانواده‌های جاسوسی توسط گروه‌های پیشرفتهٔ سایبری توسعه داده شده‌اند؛ این بدافزارها هدفمند، مخفی‌کار و پیچیده‌اند.

  • از طرف دیگر، خانواده‌هایی مثل Anatsa/TeaBot نشان داده‌اند که اپ‌های ماسکی چون «Document Reader» یا «QR Reader» می‌توانند تروجان بانکی را پس از نصب به دستگاه وارد کنند.
     


🔥 فهرست ۵ اپ و خانوادهٔ خطرناک


1️⃣ KoSpy — جاسوس نسبت‌داده‌شده به APT37 💀


چیست؟
KoSpy نامی است که محققان امنیتی برای یک خانوادهٔ جدید جاسوس‌افزار اندرویدی انتخاب کرده‌اند. این خانواده به‌نظر می‌رسد هدف‌هایی در کره و زبان‌های انگلیسی را دنبال می‌کند و توانایی‌های پیشرفته‌ای برای استخراج پیامک، تماس‌ها، فایل‌ها، موقعیت و حتی گرفتن اسکرین‌شات دارد. این بدافزار نمونه‌هایی دارد که از مارس ۲۰۲۲ دیده شده و تحلیل‌ها تا مارس ۲۰۲۴ نمونه‌های جدیدتری نشان داده است.


چطور کار می‌کند؟
KoSpy و نمونه‌های مشابه معمولاً با نقاب اپ‌های سیستمی یا ابزارهای مفید (مانند File Manager، Software Update، یا System Tool) وارد می‌شوند. پس از نصب، بسته به طراحی می‌توانند:

  • داده‌ها را جمع‌آوری و به سرور کنترل ارسال کنند

  • ماژول‌های اضافی را دانلود کنند (dynamic loading)

  • از مجوزهای Accessibility یا دسترسی به صفحه‌نمایش برای خواندن محتوای دیگر اپ‌ها استفاده کنند


علائم هشدار:

  • آیکون یا نام اپ شبیه ابزار سیستمی است اما توسعه‌دهندهٔ ناشناس و ایمیل عمومی دارد

  • اپ بدون عملکرد واضح یا با صفحهٔ «به‌روزرسانی» تنها اجرا می‌شود

  • درخواست‌های متعدد و غیرمنطقی برای مجوزهای حساس (میکروفون، پیامک، دسترسی به صفحه‌نمایش)


اقدام فوری:

  • اگر نصب کرده‌اید: دسترسی‌های ادمین دستگاه را غیرفعال کنید و اپ را حذف نمایید. سپس دستگاه را اسکن کنید و رمزهای حساب‌های مهم را تغییر دهید.
     


2️⃣ Anatsa / TeaBot — تروجان بانکی 🏦


چیست؟
Anatsa (که در برخی گزارش‌ها با نام TeaBot مرتبط دانسته شده) یک تروجان بانکی اندرویدی است که چندین سال است فعال است و اخیراً کمپین‌هایی دیده شده که با استفاده از اپ‌های پوششی مثل PDF reader یا QR code reader از طریق گوگل‌پلی توزیع شده‌اند. چنین اپ‌هایی در مواردی بیش از ده‌ها هزار نصب جمع کرده‌اند و سپس payload واقعی را دانلود می‌کنند.


چطور کار می‌کند؟
حمله معمولاً با یک اپ «قابل‌اعتماد» شروع می‌شود که پس از مدتی یا در تعامل با کاربر ماژول مخرب را بارگذاری می‌کند. Anatsa توانایی سرقت اطلاعات بانکی، خواندن پیامک‌های OTP و نمایش صفحات فیشینگ در لحظهٔ ورود کاربر به اپ بانکی را دارد. مهاجمان از «لودرها» برای توزیع payload استفاده می‌کنند و گاهی نصب‌های ۷۰,۰۰۰+ هم گزارش شده است.


علائم هشدار:

  • اپ پس از مدتی که به‌نظر بی‌ضرر بود به‌روزرسانی‌های بزرگ انجام می‌دهد یا ماژول جدید دانلود می‌کند

  • درخواست مجوزهای Accessibility یا دسترسی به پیامک/تماس بدون دلیل

  • رفتار عجیبی مثل باز کردن صفحات بانکی در وب‌ویو به‌طور ناگهانی


اقدام فوری:

  • حذف اپ، اسکن با ابزارهای معتبر و چک‌کردن تراکنش‌های بانکی
     


3️⃣ SpyLoan / Finance Simplified — تهدیدات مالی 💰


چیست؟
محققان نمونه‌هایی از اپ‌های «وام‌دهی» یا «ابزارهای مالی» را شناسایی کرده‌اند که در واقع از خانوادهٔ SpyLoan هستند: این اپ‌ها با هدف جذب کاربران نیازمند وام، آن‌ها را فریب می‌دهند تا اطلاعات شناسایی و فایل‌ها را بارگذاری کنند و سپس برای اخاذی یا سوءاستفاده استفاده می‌کنند. نمونهٔ «Finance Simplified» مورد توجه بوده و صدها هزار بار دانلود شده است.


چطور کار می‌کند؟
این اپ‌ها از مهندسی اجتماعی استفاده می‌کنند: وعدهٔ وام سریع و آسان، صفحه‌های ورود اطلاعات حساس، و در برخی موارد تهدید یا افشای داده‌ها برای اخاذی. برخلاف تروجان‌های کاملاً تکنیکی، SpyLoan ترکیبی از نگرانی‌های اجتماعی و دسترسی‌های نرم‌افزاری برای آسیب زدن به قربانی است.


علائم هشدار:

  • اپی که به‌عنوان سرویس وام یا «محاسبه اقساط» ظاهر می‌شود ولی از شما مدارک حساس یا دسترسی به رسانه‌ها می‌خواهد

  • پیام‌های تهدیدآمیزی که پس از جمع‌آوری اطلاعات به کاربر ارسال می‌شود


اقدام فوری:

  • حذف اپ، اسکن دستگاه، پشتیبان‌گیری امن از اطلاعات ضروری، و مشورت با مراکز حقوقی/بانکی
     


4️⃣ افزونه‌ها و APKهای جعلی (ProSpy / ToSpy) 🔒


چیست؟
دو خانوادهٔ جاسوسی جدید به‌نام ProSpy و ToSpy وجود دارند که خود را به‌عنوان نسخه‌های «امن» از اپ پیام‌رسان یا افزونهٔ رمزنگاری جا می‌زنند. این نمونه‌ها از وب‌سایت‌های جعلی و مهندسی اجتماعی برای گرفتن نصب استفاده می‌کنند و هدفشان استخراج اسناد، پشتیبان‌ها و فایل‌های کاربر است.


چطور کار می‌کند؟
معمولاً با ارائهٔ «نسخهٔ پرو» یا «افزونهٔ رمزنگاری» از کاربر می‌خواهند APK را دانلود و نصب کند. پس از نصب، بدافزار داده‌ها را جمع‌آوری و به سرور مهاجم ارسال می‌کند.


علائم هشدار:

  • پیشنهاد دانلود APK از وب‌سایت‌های ناشناس یا لینک‌های پیام‌رسانی که نسخهٔ رسمی را تقلید می‌کنند

  • درخواست دسترسی به فایل‌ها، مخاطبین، و پشتیبان‌های پیام‌رسان


اقدام فوری:

  • هرگز APK از سایت‌های مرتبط با پیام‌رسان‌ها نصب نکنید؛ از فروشگاه رسمی و لینک‌های تاییدشده استفاده کنید. اگر نصب کردید، حذف و اسکن کامل انجام دهید و بک‌آپ‌ها را بررسی کنید.
     


5️⃣ کمپین‌های تبلیغاتی و اپ‌های adware 📢


چیست؟
نباید فقط روی «جاسوسی مستقیم» تمرکز کرد؛ موج‌های عظیمی از اپ‌های تبلیغاتی یا adware که در گذشته از پلی‌استور عبور کردند، بعدها رفتارهای تهاجمی‌تری مثل سرقت اطلاعات یا فیشینگ را اجرا کردند.


علائم هشدار:

  • حجم تبلیغات غیرقابل‌تحمل، تغییر تنظیمات مرورگر، یا درخواست‌های پیاپی برای نصب افزونه یا اپ دیگر


اقدام فوری:

  • حذف اپ، اسکن با آنتی‌ویروس و بازنشانی تنظیمات مرورگر/اطلاعات حساس
     


✅ چگونه یک اپ مشکوک را سریع تشخیص دهیم؟
 

  • 🔍 سازندهٔ ناشناس

  • 🧾 نقدهای واقعی کم/منفی

  • 🛑 مجوزهای بیش از حد

  • 🔄 رفتار پس از نصب عجیب

  • 🌐 منبع نصب مشکوک

  • عملکرد عجیب بعد از بروزرسانی
     


🔧 گام‌به‌گام پاک‌سازی و بازیابی


گام ۱ — قرنطینه و حذف امن

  • Settings > Apps → اپ مشکوک را پیدا و حذف کنید

  • اگر اپ دسترسی Admin دارد، آن را غیرفعال کنید

  • در صورت نیاز، حالت Safe Mode را فعال کرده و حذف کنید


گام ۲ — اسکن عمیق

  • با آنتی‌ویروس معتبر اسکن کامل انجام دهید

  • فایل‌های مشکوک را بررسی و حذف کنید


گام ۳ — بازنشانی دسترسی‌ها و تغییر رمزها

  • حساب‌های گوگل، ایمیل، بانکی و شبکه‌های اجتماعی را تغییر دهید

  • اگر پیامک OTP در خطر بود، با بانک تماس بگیرید


گام ۴ — پاک‌سازی فایل‌ها و بررسی لاگ‌ها

  • فایل‌های دانلود و APKهای مشکوک را حذف کنید

  • مصرف داده اپ‌ها را بررسی کنید


گام ۵ — احتیاط بلندمدت

  • Play Protect روشن باشد

  • نصب از منابع ناشناس غیرفعال شود

  • MFA فعال و بک‌آپ منظم داشته باشید


🔗 نود۳۲ یا Internet Security؟

آنتی‌ویروس لازم است اما کافی نیست. ترکیب چند لایهٔ دفاعی، Play Protect، رفتار کاربری و تنظیمات سیستم بهترین پوشش را ایجاد می‌کند. مطالعهٔ مقالهٔ قبلی توصیه می‌شود.
 


🧠 نکات تخصصی

  • ⚙️ تحلیل

signature و hash اپ‌ها

  • 🌐 نظارت شبکه برای دامنه‌ها و IPهای ناشناس

  • 🔁 تست رفتار اپ‌ها در محیط sandbox
     


❗ پرسش‌های پرتکرار


س: آیا گوگل‌پلی امن است؟
نه صددرصد؛ بررسی مستقل و رفتار محافظتی لازم است


س: آیا آنتی‌ویروس موبایل کافی است؟
خیر، ترکیبی از رفتار کاربر و تنظیمات امنیتی ضروری است


س: APK از سایت سازنده نصب کنم یا نه؟
مگر مطمئن باشید، از sideload خودداری کنید


🏁 جمع‌بندی نهایی

  1. اپ‌هایی با مجوزهای بیش از حد یا رفتار عجیب نصب نکنید

  2. اگر اپ مشکوک نصب شد، فوراً حذف، اسکن و تغییر رمز انجام دهید

  3. برای محافظت بلندمدت، ترکیب آنتی‌ویروس، Play Protect، MFA و رفتار محافظتی ضروری است

اشتراک‌گذاری:
بازگشت به بلاگ