تیم امنیتی گوگل به توضیح یک تاکتیک رایج با نام نسخهسازی پرداخته است که هکرها از طریق آن میتوانند فرایند بررسی و کنترلهای امنیتی گوگل پلی را دور بزنند و بدافزارها را وارد دستگاههای اندرویدی کاربران کنند.
در این تکنیک هکرها یا از طریق بهروزرسانیهای برنامههای از قبل نصبشده یا بارگیری کدهای مخرب از سرورهای تحت کنترل خود به انتشار بدافزار میپردازند. گوگل توضیح میدهد:
«یکی از راههایی که هکرها تلاش میکنند از طریق آن کنترلهای امنیتی گوگل پلی را دور بزنند، نسخهسازی است. نسخهسازی زمانی اتفاق میافتد که یک توسعهدهنده نسخه اولیه برنامهای را در گوگل پلی منتشر کرده باشد که قانونی بهنظر میرسد و بررسیهای ما آن را تأیید کردهاند. اما سپس یک بهروزرسانی از سوی سرور شخص ثالث دریافت میکند که کد دستگاه کاربر نهایی را تغییر میدهد و فعالیتهای مخرب خود را فعال میکند.»
گوگل در ادامه اشاره میکند برنامههایی که درگیر چنین فعالیتهایی هستند، خطمشی رفتار فریبنده Google Play را نقض میکنند و میتوان آنها را بهعنوان درِ پشتی (Backdoor) برچسبگذاری کرد.
طبق دستورالعملهای فعلی گوگل پلی، برنامههایی که از طریق این سرویس منتشر میشوند، نمیتوانند با استفاده از هر روشی غیر از مکانیسم رسمی بهروزرسانی ارائهشده توسط گوگل، برنامه خود را تغییر، جایگزین یا بهروزرسانی کنند. همچنین این برنامهها از دانلود کدهای اجرایی (مانند فایلهای dex ،JAR یا so.) از منابع خارجی منع شدهاند.
بدافزاری که در گوگل پلی از این تکنیک استفاده میکند
گوگل همچنین به یک نوع خاص از بدافزار با نام SharkBot اشاره کرده است که اولینبار در سال 2021 توسط تیم اطلاعاتی Cleafy کشف شد و از همین تکنیک استفاده میکند. SharkBot یک بدافزار بانکی است که پس از نفوذ به دستگاههای اندرویدی، از طریق پروتکل سرویس انتقال خودکار (ATS)، بهطور غیرمجاز انتقال پول انجام میدهد.
هکرهای مسئول SharkBot برای مخفیکردن ماهیت مشکوک برنامههای خود از استراتژی انتشار نسخههایی با عملکرد محدود در گوگل پلی استفاده میکنند. بااینحال، زمانی که کاربر نسخه دارای تروجان برنامه را دانلود میکند، نسخه کامل بدافزار توسط او دریافت میشود.