ITanalyze

علی شمیرانی - استفاده انبوه کاربران ایرانی از فیلترشکن‌های رایگان، واقعیتی انکارناپذیر است. با وجود محدودیت‌های گسترده در دسترسی به اینترنت، بسیاری از افراد برای استفاده از شبکه‌های اجتماعی، رسانه‌ها یا سرویس‌های کاربردی، ناگزیر به نصب اپلیکیشن‌های وی‌پی‌ان روی دستگاه‌های خود شده‌اند.

اما به رغم هشدارهای متعدد از سال‌ها پیش تا کنون آنچه کمتر مورد توجه قرار می‌گیرد، این است که بخش بزرگی از همین اپلیکیشن‌ها نه‌تنها امنیت کاربران را افزایش نمی‌دهند، بلکه خودشان به ابزار جاسوسی، سرقت داده و کلاهبرداری تبدیل شده‌اند.

برخی از فیلترشکن‌های جعلی با نصب قابل ملاحظه در میان کاربران ایرانی و تنها در یکسال اخیر عبارتند از: CryptoVPN، SecVPN، iTop VPN  (نسخه‌های جعلی و آلوده)، SuperVPN، Snap VPN، X-VPN، SoftVPN، OpenVPN، EarthVPN، ComodoVPN،Fast VPN ،Super Proxy، FreeVPN.One (افزونه کروم)، فیلترشکن‌های جعلی اتصال به استارلینک، و نسخه جعلی سایفون 6 (psiphone6).

در همین راستا اکنون یکی از نمونه‌های اخیر، ماجرایJetVPN  است که با دریافت 5 ستاره و انبوهی از نظرات رضایمت‌مندی جعلی، بیش از یک میلیون بار از گوگل‌پلی دانلود شد، اما بعداً مشخص شد از سرورهای سرقت‌شده اپلیکیشن‌های دیگر استفاده می‌کرد. این اتفاق بار دیگر به‌خوبی نشان می‌دهد که حتی حضور یک اپلیکیشن در فروشگاه رسمی مثل گوگل‌پلی، به هیچ وجه تضمین‌کننده امنیت آن نیست.

از قضا بر خلاف تصور عمومی، مجرمان سایبری از همین خلأها سوءاستفاده می‌کنند و اپلیکیشن‌های جعلی خود را با تبلیغات انبوه و امتیازهای ساختگی، به صدر فهرست محبوب‌ترین‌ها می‌رسانند. موضوعی که اعتبار تمام ستاره‌ها، نظرات، امتیازات برای اپلیکیشن‌ها و حتی اعتبار نشان امنیتی دریافت شده از گوگل را زیر سوال برده و مخدوش می‌کند!

از سوی دیگر، گزارش‌های امنیتی درباره گروه‌هایی مثلVexTrio Viper  نشان می‌دهد که اپلیکیشن‌های جعلی وی‌پی‌ان، مسدودکننده تبلیغات و حتی ابزارهای ظاهراً بی‌خطر مانند پاک‌کننده RAM، در واقع پوششی برای کلاهبرداری گسترده هستند. این اپلیکیشن‌ها، علاوه بر جاسوسی، کاربران را به خرید اشتراک‌های تقلبی و ثبت‌نام در سرویس‌های جعلی وادار می‌کنند.

مطالعه متن حاضر برای کاربران ایرانی اهمیت دارد، چراکه شاید شما هم در حال استفاده از یکی از اپلیکیشن‌ها و فیلترشکن‌های ناامنی باشید که نامشان در این گزارش آمده است.

• کلاهبرداری از کلاهبرداران

اکنون و در همین رابطه Techradar در گزارشی جدید به بررسی یکی دیگر از روش‌های کلاهبرداری اپلیکیشن‌های فیلترشکن پرداخته است که حاوی نکات جالبی است.

در سال‌های اخیر، اپلیکیشن‌های جعلی وی‌پی‌ان و ابزارهای امنیتی به یکی از راه‌های اصلی کلاهبرداری سایبری در دنیا تبدیل شده‌اند.

تازه‌ترین تحقیقات نشان می‌دهد حتی برخی از محبوب‌ترین برنامه‌های موجود در فروشگاه‌های رسمی مانند گوگل‌پلی و اپ‌استور اپل نیز می‌توانند جعلی، مخرب و خطرناک باشند. گزارش اخیر نشان می‌دهد:

• یک اپلیکیشن رایگان وی‌پی‌ان (VPN) در اندروید با بیش از یک میلیون دانلود، هنگام ارائه خدماتش از سرورهای سرقت‌شده ویندزاسکرایب (Windscribe) استفاده می‌کرد.
• گفته می‌شود جت‌وی‌پی‌ان (JetVPN)، پس از مسدود شدن دسترسی‌اش توسط ویندزاسکرایب، به سراغ سرورهای Private Internet Access (PIA) رفته است.
• به گفته Windscribe، این اتفاق، نشانه‌ای از مشکلات گسترده‌تر در فروشگاه گوگل‌پلی است.

به نظر می‌رسد یک VPN رایگان که جزو پربازدیدترین اپلیکیشن‌های رایگان در فروشگاه گوگل‌پلی با بیش از یک میلیون دانلود است، از Windscribe سرقت کرده است.

ویندزاسکرایب که از سوی کارشناسان TechRadar، به‌عنوان یکی از بهترین ارائه‌دهندگان وی‌پی‌ان شناخته می‌شود، اواخر جولای متوجه شدJetVPN  (یک نام تازه در این صنعت)، از سرورهای متعلق به ویندزاسکرایب، برای میزبانی سرویس خود استفاده کرده است.

گفته می‌شود بعد از اینکه دسترسی جت وی‌پی‌ان مسدود شد، این اپلیکیشن برای ادامه کار به سراغ سرورهای Private Internet Access (PIA)  رفته است.

در همین رابطه یک سخنگوی جت‌وی‌پی‌ان مدعی شده که تیم آن‌ها تا زمانی که ویندزاسکرایب با آن‌ها تماس نگرفته بود، از این ماجرا، کاملاً بی‌اطلاع بوده است.

به گفته این سخنگو، یک شرکت ثالث، که راهکار «وی‌پی‌ان سفیدبرچسب» ارائه می‌دهد، سرورهای Windscribe و PIA را بدون اطلاع JetVPN در اختیار آنها گذاشته بود!

در این باره، یگور ساک، مدیرعامل ویندزاسکرایب گفت: «این ماجرا، نمونه‌ای از کلاهبردارانی است که از کلاهبرداران دیگر کلاهبرداری می‌کنند!»

او افزود: «این، نخستین بار نیست که چنین اتفاقی می‌افتد» وی تأکید کرد که این موضوع، بیانگر مشکل بزرگ‌تر گوگل در زمینه کنترل کیفیت اپلیکیشن‌های جدید است.

• سرقت سرورهای VPN؛ ماجرا چه بود؟

در این رابطه،Windscribe  وPIA ، جزء معدود ارائه‌دهندگانی هستند که امکان اتصال نامحدود دستگاه‌ها را فراهم می‌کنند؛ به این معنا که کاربر با خرید یک اشتراک می‌تواند به‌طور همزمان از VPN روی همه دستگاه‌هایش استفاده کند.

شاید کاربران عادی، این قابلیت را برای محافظت از اعضای خانواده و دوستان‌شان با یک اشتراک به کار ببرند، اما توسعه‌دهندگان سودجو می‌توانند از همین قابلیت سوءاستفاده کنند و نرم‌افزار وی‌پی‌ان خودشان را بدون هیچ هزینه‌ای راه‌اندازی کنند.

ساک توضیح داد: «روش کار، خیلی ساده است: آنها تعدادی حساب  ویندزاسکرایب می‌خرند و سپس با توزیع اطلاعات ورود در اپلیکیشن خود، به‌طور گسترده این حساب‌ها را به اشتراک می‌گذارند.»

او همچنین افزود: «کاربران Windscribe یا PIA جای نگرانی ندارند، چون این سوءاستفاده، تنها محدود به همان حساب‌هایی است که متخلفان خریداری کرده‌اند و تأثیری روی سایر کاربران ندارد.»

همچنین PIA تأیید کرد که متوجه سوءاستفاده یک طرف ثالث، از قابلیت اتصال نامحدود خود شده است.

یک سخنگوی PIA گفت: «مطابق با شرایط خدمات ما، حساب‌های متخلف به‌سرعت بسته شدند.»

وقتی TechRadar موضوع را با JetVPN در میان گذاشت، تیم این اپلیکیشن اعلام کرد به‌محض تماس ارائه‌دهندگان، استفاده از سرورهای Windscribe و PIA را متوقف و آنها را از اپلیکیشن‌ خود حذف کرده‌اند و اکنون کاملاً از زیرساخت اختصاصی خودشان استفاده می‌کنند.

سخنگوی جت‌وی‌پی‌ان گفت: «می‌خواهیم تأکید کنیمJetVPN ، هیچ‌گونه استفاده عمدی یا غیرمجاز از زیرساخت آنها نداشته است. این تداخل، تنها ناشی از همان شرکت ثالث ارائه‌دهنده خدمات وی‌پی‌ان سفیدبرچسب بوده است.»

• مشکل گوگل‌پلی؟

در زمان نگارش این گزارش، اپلیکیشنJetVPN ، دیگر در فروشگاه گوگل‌پلی در دسترس نیست. تا روز جمعه ۱۵ آگوست ۲۰۲۵، این اپلیکیشن، موجود بود و طی چند ماه توانست امتیاز پنج‌ستاره بگیرد. این وی‌پی‌ان هیچ‌گاه در اپ‌استور اپل عرضه نشده بود. وقتی در این باره از جت وی‌پی‌ان پرسیده شد، شرکت اعلام کرد که حذف شدن اپلیکیشن، مستقیماً به این ماجرا ارتباطی ندارد.

یک سخنگوی JetVPN گفت: «در حال حاضر، مشغول به‌روزرسانی و بهبود سرویس هستیم و امیدواریم به‌زودی، دوباره آن را عرضه کنیم.»

او اضافه کرد تصمیم شرکت این بوده که اپلیکیشن، ابتدا فقط برای اندروید منتشر شود.

بااین‌حال، ماجرای جت‌وی‌پی‌ان، تنها یکی از موارد اخیر است که طی آن اپلیکیشن‌های تأییدنشده وی‌پی‌ان توانسته‌اند به رتبه‌های بالای گوگل‌پلی دست یابند.

گوگل حتی در فوریه گذشته یک نشان «تأییدشده» معرفی کرده بود تا به کاربران کمک کند فقط سرویس‌های امن و قابل اعتماد را دانلود کنند.

با وجود این، همین اواخر، یک افزونه رایگان پرطرفدار وی‌پی‌ان برای مرورگر گوگل‌کروم که بیش از ۱۰۰ هزار کاربر داشت و این نشان امنیتی را هم گرفته بود، در حال جاسوسی از کاربران، شناسایی شد!

ساک به TechRadar گفت: «گوگل در زمینه کنترل کیفیت، به‌علاوه استفاده آشکار از بات‌ها، برای نصب انبوه و ثبت نظرات جعلی، تا اپلیکیشن‌های مشکوک را به لیست ۱۰ اپ برتر برسانند، با مشکل جدی مواجه است. این موضوع، کاملاً مشهود است، چون این اپلیکیشن [JetVPN] با بیش از 5000 رأی، اما هیچ دیدگاه نوشته‌شده‌ای، امتیاز ۵.۰ را داراست.»

در نهایت، همیشه یک قانون کلی را به خاطر بسپارید. اگر امنیت و حریم خصوصی‌تان برای‌ شما مهم است، هیچ‌گاه سراغ اپلیکیشن‌های رایگان و تأییدنشده نروید.

• یک VPN جعلی با امکان جاسوسی

در همین زمینه اما، گزارشی دیگر از سایت Inkl، از انتشار اپلیکیشن‌های جعلی توسط یک گروه مخرب حکایت دارد. در خلاصه این گزارش آمده است:

• طبق یافته‌های تازه محققان، گروه مخربVexTrio Viper ، مجموعه‌ای از اپلیکیشن‌های جعلی را از طریق فروشگاه‌های معتبر اپلیکیشن منتشر کرده است.
• این برنامه‌های مخرب، VPNها، مسدودکننده‌های تبلیغات، پاک‌کننده‌های RAM و حتی اپلیکیشن‌های دوست‌یابی آنلاین را شامل می‌شوند.
• گروهVexTrio Viper ، دست‌کم از سال ۲۰۱۵ با استفاده از سیستم‌های توزیع ترافیک (TDS)، برای انتشار بدافزار و کلاهبرداری‌های آنلاین فعالیت می‌کند.

در این گزارش آمده است: فرقی نمی‌کند اپلیکیشن VPN خود را از گوگل‌پلی دانلود کرده باشید یا اپ‌استور اپل، زیرا همچنان احتمال دارد برنامه‌ای که نصب کرده‌اید یک اپلیکیشن جعلی ساخته‌شده توسطVexTrio Viper  باشد.

در یک گزارش جامع، پژوهشگران بخش امنیت سایبریInfoblox Threat Intel  فاش کردند که این گروه تبلیغاتی متقلب، طیف گسترده‌ای از اپلیکیشن‌ها، شاملVPN  و مسدودکننده تبلیغات تا پاک‌کننده‌های RAM و حتی برنامه‌های دوست‌یابی آنلاین را در فروشگاه‌های رسمی منتشر کرده است.

به باور کارشناسان، VexTrio، یک شبکه مجرمانه پیچیده است که از سال ۲۰۱۵ فعال بوده، چند شرکت پوششی دارد و از سیستم‌های توزیع ترافیک (TDS)، برای گسترش بدافزار و دیگر کلاهبرداری‌های اینترنتی استفاده می‌کند.

• هفت اپلیکیشن امنیتی آلوده شده‌اند

همچنین محققان بهThe Hacker News  اعلام کردند: «آنها اپلیکیشن‌های خود را با نام‌های مختلف توسعه‌دهنده، از جمله HolaCode، LocoMind، Hugmi،Klover Group  وAlphaScale Media  منتشر کرده‌اند. این برنامه‌ها، در مجموع میلیون‌ها بار از گوگل‌پلی و اپ‌استور اپل، دانلود شده‌اند.»

به‌طور مشخص، دست‌کم هفت اپلیکیشن امنیتی توسط شرکت LocoMind ساخته شده که در سال ۲۰۲۴، ادعا کرده بود بیش از ۵۰۰ هزار بار، دانلود و حدود ۵۰ هزار کاربر فعال دارد.

این برنامه‌ها، سرویس‌های مختلف فیلترشکن مانندFast VPN – Super Proxy  و نیز ابزارهای دیگری مانند پاک‌کننده‌های RAM  را شامل می‌شوند. وقتی کاربران این برنامه‌ها را روی دستگاه‌های خود نصب می‌کردند، با تبلیغات آزاردهنده، بمباران و به ثبت‌نام در اشتراک‌های فریبکارانه ترغیب می‌شدند.

• پیگیری فعالیت‌های مخرب VexTrio

تیمInfoblox Threat Intel  از سال ۲۰۲۲، فعالیت‌های مخرب گروه VexTrio را زیرنظر دارد و در طول این سال‌ها گزارش‌های متعددی منتشر کرده است.

به طور مثال، در ژوئن ۲۰۲۵ پژوهشگران، از شبکه‌ای مجرمانه پرده برداشتند که شامل هکرهای وردپرس و یک سیستم توزیع ترافیک (TDS) متعلق به گروه VexTrio بود.

همچنین آنها در سال ۲۰۲۴، برنامه عظیم همکاری مخرب (affiliate program) این گروه را افشا کردند که درست مانند یک سرویس تحویل غذا، اما برای مجرمان سایبری کار می‌کرد.

پژوهشگران یادآور شدند: «در مجموع، شرکت و برندهای وابسته به VexTrio، حدود 100 مورد هستند. دامنه فعالیت‌های آنها، شامل اپلیکیشن‌های مخرب، عملیات اسپم گسترده و همان‌طور که چند ماه پیش منتشر شد، همکاری نزدیک با تعداد زیادی هکر وب‌سایت است.»

• چطور امن بمانیم؟

این ماجرا، یادآور این نکته مهم است که صرفاً حضور یک اپلیکیشن در فروشگاه رسمی اپلیکیشن‌ها، تضمینی برای امنیت آن نیست. شما باید به‌ویژه درباره ابزارهای امنیتی بیشتر دقت کنید، زیرا مجرمان سایبری، به‌خوبی از دستگاه‌های بدون محافظت سوءاستفاده می‌کنند.

برای نمونه، در آوریل مشخص شد دست‌کم ۲۰ اپلیکیشن وی‌پی‌ان رایگان با مالکیت پنهان چینی، در اپ‌استور رسمی اپل در آمریکا حضور داشتند. حداقل پنج مورد از این برنامه‌ها به شرکتی در شانگهای مرتبط بودند که گفته می‌شود با ارتش چین ارتباط دارد.

در حالی که سرویس‌های معتبر وی‌پی‌ان، با رمزگذاری ترافیک اینترنتی و مخفی‌سازی نشانی IP می‌توانند ناشناس‌ بودن و امنیت آنلاین شما را تقویت کنند، اپلیکیشن‌های مخرب، برعکس عمل می‌کنند و خطر جدی برای حریم خصوصی شما هستند. به‌عنوان یک اصل کلی:

• تنها از سرویس‌های معتبر VPN استفاده کنید.
• حتماً مطمئن شوید آن سرویس، دارای سیاست سختگیرانه عدم ثبت لاگ است.
• بررسی کنید سابقه ممیزی‌های مستقل، توسط شرکت‌های ثالث را داشته باشد.

• چند توصیه به کاربران ایرانی

می‌دانیم که بسیاری از کاربران ایرانی هرگز با گزارش فعلی مواجه نخواهند شد. برخی دیگر از کاربران هم خواهند گفت اطلاعاتی ندارند که نگران سواستفاده از آن باشند و دسته دیگری از کاربران هم با وجود تمام خطرات، آگاهانه ریسک استفاده از فیلترشکن‌های رایگان و مشکوک را می‌پذیرند.

با تمام این تفاسیر برای کاربران ایرانی که به دلیل شرایط خاص، به وی‌پی‌ان نیاز دارند، چند توصیه کلیدی ضروری است:

1. تا حد امکان از فیلترشکن‌های مشکوک و ناشناخته پرهیز کنید.به طور کلی قاعده‌ای در دنیای فناوری مرسوم است که می‌گوید، «اگر از محصولی به رایگان استفاده می‌کنید در واقع خود شما محصول آن شرکت هستید.» مثل قدیمی پنیر مفت تنها در تله موش پیدا می‌شود نیز برای این مواقع استفاده می‌شود. بر همین مبنا هیچ سرویس رایگانی بدون هزینه نیست. اگر اپلیکیشنی رایگان است، احتمالاً بهای آن را با داده‌ها و حریم خصوصی خود پرداخت می‌کنید. بسیاری از این اپ‌ها داده‌های مرور، موقعیت مکانی، یا حتی محتوای شخصی شما را می‌فروشند.
2. فقط از سرویس‌های معتبر و شناخته‌شده استفاده کنید
   سرویس‌هایی که دارای سیاست عدم ثبت لاگ (No-Log Policy) و ممیزی‌های امنیتی مستقل هستند، گزینه‌های قابل اتکاتری به شمار می‌روند.
3. از فروشگاه‌های رسمی دانلود کنید، اما چشم بسته اعتماد نکنید
   حتی اگر اپلیکیشنی در گوگل‌پلی یا اپ‌استور باشد، بررسی کنید چه شرکتی پشت آن است، سابقه‌اش چیست و آیا گزارش‌های امنیتی معتبر درباره آن منتشر شده یا نه؟
4. مجوزهای دسترسی را کنترل کنید
   بسیاری از اپلیکیشن‌های جعلی دسترسی‌های غیرضروری می‌خواهند؛ مثلاً به لیست مخاطبان، میکروفون یا دوربین. همیشه قبل از تأیید، مجوزها را مرور کنید و اگر منطقی نبود، اپلیکیشن را حذف کنید.
5. به تبلیغات پرزرق‌وبرق و ستاره‌ها هم توجه نکنید
   بسیاری از این 5 ستاره‌ها و امتیازها جعلی هستند و با استفاده از بات‌ها ایجاد می‌شوند. اگر اپلیکیشنی با صدها هزار نصب، هیچ نقد واقعی یا نظر منفی نداشته باشد، به آن مشکوک شوید.
6. از ابزارهای امنیتی مکمل استفاده کنید

آنتی‌ویروس‌های موبایل مانندMalwarebytes  یاAvast Mobile Security  می‌توانند اپلیکیشن‌های آلوده به جاسوس‌افزار را شناسایی کنند.

و در نهایت، باید این واقعیت را پذیرفت که وی‌پی‌ان‌های رایگان، بیش از آنکه ابزاری برای دور زدن محدودیت‌ها باشند، در بسیاری از موارد تبدیل به تله‌ای برای کاربران عادی می‌شوند. انتخاب آگاهانه و پرهیز از وسوسه «رایگان بودن، تعداد نصب و امتیازات جعلی»، مهم‌ترین گام برای حفظ امنیت دیجیتالی کاربران ایرانی است.

• چند توصیه به مسئولان و تصمیم‌گیران

و در پایان اما باید نکاتی به مسوولان حوزه امنیت سایبری و همچنین تصمیم‌گیران عرصه فیلترینگ کشور داشت که خلاصه آن می‌شود این جمله: هرچه فیلترینگ غیرهوشمند گسترده‌تر شود، بازار وی‌پی‌ان‌های ناامن هم پررونق‌تر می‌شود و تهدیدات سایبری واقعی‌تر.

1. بازنگری در سیاست فیلترینگ یک‌دست و گستردهفیلترینگ وسیع نه‌تنها مانع دسترسی به محتوای نامطلوب نشده، بلکه بر اساس آمارهای تقریبا تمامی ایرانی‌ها از سنین پایین تا بالا را به سوی فیلترشکن‌های جعلی و ناامن سوق داده است. این امر عملاً تهدید امنیتی را افزایش می‌دهد و راه را برای جاسوس‌افزارها هموار می‌کند. سیاست‌های فیلترینگ باید هوشمند باشد، نه مسدودسازی فراگیر.
2. سرمایه‌گذاری روی آموزش و آگاهی‌رسانی عمومیبه جای آنکه کاربران به حال خود رها شوند، لازم است نهادهای مسئول، کارزارهای آموزشی درباره خطرات وی‌پی‌ان‌های جعلی و بدافزارها راه‌اندازی کنند و مستمرا اخبار شناسایی فیلترشکن‌های جعلی را اطلاع‌رسانی کنند. آگاهی‌بخشی به شهروندان هزینه‌ای کمتر و اثربخشی بیشتری نسبت به مقابله پسینی دارد.
3. رصد و مقابله با شبکه‌های توزیع  آلودههمچنین به‌جای مقابله کلی با کاربران، باید روی شناسایی و قطع دسترسی باندهایی که فیلترشکن‌های آلوده و جاسوس‌افزارها را منتشر می‌کنند، تمرکز شود. همکاری با شرکت‌های امنیتی جهانی می‌تواند این روند را تسریع کند.

و در نهایت اینکه، مساله فیلترشکن‌ها در ایران متاسفانه تبدیل به پدیده‌ای همچون عرضه مواد مخدر و مشروبات الکلی تقلبی و … شده است. به عبارتی اگرچه ممنوعیت‌ها یک سمت این پدیده محسوب می‌شوند اما این موضوع به منزله مجوز فعالیت آزادانه کلاهبرداران داخلی و جاسوس‌های خارجی و سلب مسوولیت در حمایت و آگاه‌سازی کاربران نیز نمی‌شود. (منبع:عصرارتباط)