نظرة على بعض الحالات الأخيرة لبرامج ضارة تعمل بنظام أندرويد تتسلل إلى متاجر التطبيقات الرسمية الأكثر رسمية - Google Play.
يميل المستخدمون إلى الاعتقاد بأنه من الآمن تثبيت التطبيقات من Google Play. بعد كل شيء، إنه المتجر الأكثر رسمية من بين جميع المتاجر الرسمية لنظام أندرويد، ويتم فحص جميع التطبيقات هناك بدقة بواسطة مشرفي جوجل، أليس كذلك؟
ومع ذلك، ضع في اعتبارك أن جوجل بلاي Google Play هو موطن لأكثر من ثلاثة ملايين تطبيق فريد، ويتم تحديث معظمها بانتظام، كما أن فحصها جميعًا بدقة - أي بشكل شامل حقًا - هو أمر يتجاوز موارد حتى واحد من أفضل تطبيقات العالم (أكبر الشركات).
وإدراكًا لذلك، قام صانعو التطبيقات الضارة بتطوير عدد من التقنيات لتسلل إبداعاتهم إلى Google Play. في هذا المنشور، نلقي نظرة على أكثر الحالات التي استحوذت على العناوين الرئيسية لعام 2023 فيما يتعلق بالتطبيقات الضارة على متجر Android الرسمي، حيث تجاوز إجمالي التنزيلات – انتظر – 600 مليون. دعنا نذهب!…
50000 عملية تنزيل: يتنصت تطبيق iRecorder المصاب على المستخدمين
لنبدأ بحالة iRecorder البسيطة إلى حد ما، ولكنها مثيرة للاهتمام للغاية وتوضيحية للغاية. تم تحميل هذا التطبيق غير المميز لتسجيل الشاشة للهواتف الذكية التي تعمل بنظام Android على Google Play في سبتمبر 2021.
ولكن بعد ذلك، في أغسطس 2022، أضاف مطوروه بعض الوظائف الضارة: رمز من برنامج الوصول عن بعد Trojan AhMyth، والذي تسبب في قيام الهواتف الذكية لجميع المستخدمين الذين قاموا بتثبيت التطبيق بتسجيل الصوت من الميكروفون كل 15 دقيقة وإرساله إلى خادم منشئو التطبيق. وبحلول الوقت الذي اكتشف فيه الباحثون البرامج الضارة في مايو 2023، كان قد تم تنزيل تطبيق iRecorder أكثر من 50000 مرة.
يوضح هذا المثال إحدى الطرق التي تتسلل بها التطبيقات الضارة إلى Google Play. أولاً، يقوم مجرمو الإنترنت بتحميل تطبيق غير ضار إلى المتجر والذي يضمن اجتياز جميع عمليات التحقق من الإشراف. بعد ذلك، عندما يكتسب التطبيق جمهورًا ونوعًا من السمعة (الأمر الذي قد يستغرق شهورًا أو حتى سنوات)، يتم تعزيزه بوظائف ضارة في التحديث التالي الذي يتم تحميله على Google Play.
620.000 عملية تنزيل: حصان طروادة الخاص باشتراك Fleckpe
وفي مايو 2023 أيضًا، اكتشف خبراؤنا أن العديد من التطبيقات على Google Play مصابة بفيروس طروادة الخاص باشتراك Fleckpe. بحلول ذلك الوقت، كانوا قد حققوا بالفعل 620.000 عملية تثبيت. ومن المثير للاهتمام أن هذه التطبيقات تم تحميلها بواسطة مطورين مختلفين. وهذا تكتيك شائع آخر: يقوم مجرمو الإنترنت بإنشاء العديد من حسابات المطورين في المتجر، بحيث حتى إذا تم حظر البعض من قبل المشرفين، يمكنهم فقط تحميل تطبيق مماثل إلى حساب آخر.
عندما تم تشغيل التطبيق المصاب، تم تنزيل الحمولة الضارة الرئيسية على الهاتف الذكي للضحية، وبعد ذلك اتصل حصان طروادة بخادم القيادة والتحكم ونقل معلومات البلد والمشغل الخلوي. وبناءً على هذه المعلومات، قدم الخادم تعليمات حول كيفية المتابعة. فتح Fleckpe بعد ذلك صفحات ويب ذات اشتراكات مدفوعة في نافذة متصفح غير مرئية للمستخدم، ومن خلال اعتراض رموز التأكيد من الإشعارات الواردة، اشترك المستخدم في خدمات لا داعي لها يتم دفع ثمنها من خلال حساب مشغل الهاتف المحمول.
1.5 مليون عملية تنزيل: برامج التجسس الصينية
في يوليو 2023، تبين أن Google Play يستضيف اثنين من مديري الملفات – أحدهما بمليون عملية تنزيل، والآخر بنصف مليون عملية تنزيل. على الرغم من تأكيدات المطورين بأن التطبيقات لا تجمع أي بيانات، وجد الباحثون أن كلاهما ينقل الكثير من معلومات المستخدم إلى خوادم في الصين، بما في ذلك جهات الاتصال، وتحديد الموقع الجغرافي في الوقت الفعلي، وبيانات حول طراز الهاتف الذكي والشبكة الخلوية، والصور، والصوت. وملفات الفيديو، وأكثر من ذلك.
ولتجنب إلغاء تثبيتها من قبل المستخدم، قامت التطبيقات المصابة بإخفاء أيقونات سطح المكتب الخاصة بها، وهو أسلوب شائع آخر يستخدمه منشئو البرامج الضارة على الأجهزة المحمولة.
2.5 مليون عملية تنزيل: برامج الإعلانات المتسللة في الخلفية
في حالة حديثة لاكتشاف البرامج الضارة على Google Play في أغسطس 2023، وجد الباحثون ما يصل إلى 43 تطبيقًا - بما في ذلك، من بين أمور أخرى، مشغل TV/DMB، وتنزيل الموسيقى، والأخبار، والتقويم - التي قامت بتحميل الإعلانات سرًا عندما كانت شاشة الهاتف الذكي للمستخدم مفتوحة.
وحتى تتمكن من تنفيذ أعمالها في الخلفية، طلبت التطبيقات من المستخدم إضافتها إلى قائمة الاستثناءات المتعلقة بتوفير الطاقة. وبطبيعة الحال، شهد المستخدمون المتأثرون انخفاضًا في عمر البطارية. حصلت هذه التطبيقات على إجمالي 2.5 مليون عملية تنزيل، وكان الجمهور المستهدف كوريًا في المقام الأول.
20 مليون عملية تنزيل: التطبيقات الاحتيالية تعد بمكافآت
وكشفت دراسة نشرت مطلع عام 2023 عن العديد من التطبيقات المشبوهة على متجر جوجل بلاي، والتي تم تنزيلها فيما بينها أكثر من 20 مليونًا. لقد وضعوا أنفسهم في المقام الأول كمتتبعين للصحة، ووعدوا المستخدمين بمكافآت نقدية مقابل المشي والأنشطة الأخرى، بالإضافة إلى عرض الإعلانات أو تثبيت تطبيقات أخرى.
وبشكل أكثر دقة، تم منح المستخدم نقاطًا مقابل هذه الإجراءات، والتي من المفترض بعد ذلك تحويلها إلى أموال حقيقية. المشكلة الوحيدة هي أنه للحصول على مكافأة، كان عليك جمع عدد كبير من النقاط لدرجة أن ذلك كان مستحيلًا فعليًا.
35 مليون عملية تنزيل: نسخ Minecraft مع وجود برامج إعلانية بداخلها
أصبح Google Play أيضًا موطنًا للألعاب الضارة هذا العام، وكان السبب الرئيسي (وليس للمرة الأولى) هو لعبة Minecraft - التي لا تزال واحدة من أكثر الألعاب شعبية في العالم. في أبريل 2023، تم اكتشاف 38 نسخة من لعبة Minecraft في متجر Android الرسمي، بإجمالي 35 مليون عملية تنزيل. كانت مخبأة داخل هذه التطبيقات برامج إعلانية تسمى HiddenAds.
عندما تم إطلاق التطبيقات المصابة، قامت "بعرض" إعلانات مخفية دون علم المستخدم. ولا يشكل ذلك تهديدًا خطيرًا في حد ذاته، ولكن مثل هذا السلوك قد يؤثر على أداء الجهاز وعمر البطارية.
ويمكن دائمًا متابعة هذه التطبيقات المصابة لاحقًا من خلال نظام تحقيق الدخل الأقل ضررًا. يعد هذا تكتيكًا قياسيًا آخر لمنشئي تطبيقات البرامج الضارة على Android: حيث يقومون بسهولة بالتبديل بين أنواع مختلفة من الأنشطة الضارة اعتمادًا على ما هو مربح في أي لحظة.
100 مليون عملية تنزيل: جمع البيانات والنقر فوق الاحتيال
وفي أبريل 2023 أيضًا، تم العثور على 60 تطبيقًا آخر على Google Play مصابًا ببرامج إعلانية أطلق عليها الباحثون اسم Goldoson. حصلت هذه التطبيقات مجتمعة على أكثر من 100 مليون عملية تنزيل على Google Play وثمانية ملايين أخرى على متجر ONE الكوري الشهير.
كما "أظهرت" هذه البرامج الضارة إعلانات مخفية عن طريق فتح صفحات ويب داخل التطبيق في الخلفية. بالإضافة إلى ذلك، قامت التطبيقات الضارة بجمع بيانات المستخدم، بما في ذلك معلومات حول التطبيقات المثبتة، والموقع الجغرافي، وعناوين الأجهزة المتصلة بالهاتف الذكي عبر Wi-Fi وBluetooth، والمزيد.
يبدو أن Goldoson قد وصل إلى كل هذه التطبيقات إلى جانب مكتبة مصابة يستخدمها العديد من المطورين الشرعيين الذين لم يكونوا على علم باحتوائها على وظائف ضارة. وهذا ليس بالأمر غير المألوف: في كثير من الأحيان، لا يقوم منشئو البرامج الضارة بتطوير ونشر التطبيقات على Google Play بأنفسهم، ولكن بدلاً من ذلك يقومون بإنشاء مكتبات مصابة من هذا النوع والتي تنتهي في المتجر جنبًا إلى جنب مع تطبيقات المطورين الآخرين.
451 مليون عملية تنزيل: إعلانات الألعاب المصغرة وجمع البيانات
نختتم بأكبر حالة لهذا العام: في مايو 2023، اكتشف فريق من الباحثين 101 تطبيقًا مصابًا على Google Play، مع إجمالي تنزيلات بلغت 421 مليونًا. كان يكمن داخل كل واحد منهم برنامج ضار يسمى SpinOk.
وبعد فترة وجيزة، اكتشف فريق آخر من الباحثين 92 تطبيقًا آخر على Google Play مصابًا بنفس SpinOk، مع عدد أقل قليلاً من التنزيلات - 30 مليونًا. في المجمل، تم العثور على ما يقرب من 200 تطبيق مصاب مع 451 مليون عملية تنزيل من Google Play. هذه حالة أخرى لإصابة التطبيقات من خلال مكتبة ضارة.
ظاهريًا، كانت مهمة التطبيقات المصابة هي عرض ألعاب صغيرة متطفلة تعد بمكافآت نقدية. ولكن هذا لم يكن كل شيء: ففي الخلفية، كانت المكتبة الضارة مشغولة بجمع بيانات المستخدم وملفاته وإرسالها إلى خادم الأوامر والتحكم الخاص بالمهاجمين.
كيفية الحماية من البرامج الضارة على Google Play
بالطبع، لم نقم بتغطية جميع حالات وصول التطبيقات الضارة إلى Google Play في عام 2023، ولكن فقط الحالات الأكثر لفتًا للانتباه. الاستنتاج الرئيسي من هذا المنشور هو أن البرامج الضارة على Google Play هي أكثر شيوعًا بكثير مما يود أي منا أن يعتقده - التطبيقات المصابة لديها إجمالي تنزيلات مجمعة تزيد عن نصف مليار!
ومع ذلك، تظل المتاجر الرسمية هي المصادر الأكثر أمانًا. يعد تنزيل التطبيقات في مكان آخر أكثر خطورة بكثير، ولهذا السبب ننصح بشدة بعدم القيام بذلك. ولكن يجب عليك توخي الحذر في المتاجر الرسمية أيضًا:
في كل مرة تقوم فيها بتنزيل تطبيق جديد، قم بفحص صفحته في المتجر بعناية للتأكد من أنه أصلي. انتبه بشكل خاص إلى اسم المطور. ليس من غير المعتاد أن يقوم مجرمو الإنترنت باستنساخ التطبيقات الشائعة ووضعها على Google Play تحت أسماء وأيقونات وأوصاف مماثلة لجذب المستخدمين.
لا تسترشد بالتقييم العام للتطبيق، لأنه من السهل تضخيمه. المراجعات الحماسية أيضًا ليست مشكلة في التزييف. بدلًا من ذلك، ركز على المراجعات السلبية ذات التقييمات المنخفضة — حيث يمكنك عادةً العثور على وصف لجميع مشكلات التطبيق.
تأكد من تثبيت حماية موثوقة على جميع أجهزة Android الخاصة بك، والتي تعطي تحذيرًا مسبقًا إذا حاول حصان طروادة التسلل إلى هاتفك الذكي أو جهازك اللوحي.
في الإصدار المجاني من تطبيق Kaspersky: Antivirus & VPN، تذكر إجراء فحص للجهاز يدويًا من وقت لآخر، وتأكد من إجراء فحص مكافحة الفيروسات بعد تثبيت أي تطبيق جديد وقبل تشغيله لأول مرة.
في الإصدار المدفوع من مجموعة الحماية الخاصة بنا - والتي، بالمناسبة، تم تضمينها في الاشتراك في Kaspersky Standard أو Kaspersky Plus أو Kaspersky Premium - يتم إجراء المسح تلقائيًا، مما يبقيك آمنًا من التطبيقات المصابة.
المصدر: كاسبرسكي