أصاب باب خلفي غير معروف سابقًا لنظام أندرويد يُدعى إكساماليشس "Xamalicious" ما يقرب من 338300 جهاز عبر تطبيقات ضارة على قوقل بلاي، متجر التطبيقات الرسمي لنظام أندرويد.

اكتشفت McAfee مكافي  14 تطبيقًا مصابًا  على قوقل بلاي، ثلاثة منها تحتوي على 100 ألف عملية تثبيت لكل منها.

على الرغم من إزالة التطبيقات منذ ذلك الحين من قوقل بلاي، إلا أن المستخدمين الذين قاموا بتثبيتها منذ منتصف عام 2020 قد لا يزالون يحملون إصابات Xamalicious النشطة على هواتفهم، مما يتطلب عمليات فحص وتنظيف يدوية.

أشهر تطبيقات Xamalicious هي التالية:
Essential Horoscope for Android – 100,000 installs
3D Skin Editor for PE Minecraft – 100,000 installs
Logo Maker Pro – 100,000 installs
Auto Click Repeater – 10,000 installs
Count Easy Calorie Calculator – 10,000 installs
Dots: One Line Connector – 10,000 installs
Sound Volume Extender – 5,000 installs

وفقًا لبيانات القياس عن بعد الخاصة بشركة McAfee، تم تثبيت معظم الإصابات على أجهزة في الولايات المتحدة وألمانيا وإسبانيا والمملكة المتحدة وأستراليا والبرازيل والمكسيك والأرجنتين.

الباب الخلفي لنظام أندرويد Xamalicious
عبارة عن باب خلفي لنظام أندرويد قائم على .NET ومضمن (في شكل 'Core.dll' و'GoogleService.dll') داخل التطبيقات التي تم تطويرها باستخدام إطار عمل Xamarin مفتوح المصدر، مما يجعل تحليل التعليمات البرمجية الخاصة به أكثر صعوبة.

عند التثبيت، يطلب الوصول إلى خدمة إمكانية الوصول، مما يمكّنه من تنفيذ إجراءات مميزة مثل إيماءات التنقل وإخفاء العناصر التي تظهر على الشاشة ومنح أذونات إضافية لنفسه.

بعد التثبيت، يتصل بخادم C2 (القيادة والتحكم) لجلب حمولة DLL للمرحلة الثانية ('cache.bin') إذا تم استيفاء المتطلبات الأساسية المحددة جغرافيًا وشبكة وتكوين الجهاز وحالة الجذر.

البرمجيات الخبيثة قادرة على تنفيذ الأوامر التالية:

• معلومات الجهاز : يجمع معلومات الجهاز والأجهزة، بما في ذلك معرف أندرويد والعلامة التجارية ووحدة المعالجة المركزية والطراز وإصدار نظام التشغيل واللغة وحالة خيارات المطور وتفاصيل بطاقة SIM والبرامج الثابتة.
• المعلومات الجغرافية: يحدد الموقع الجغرافي للجهاز باستخدام عنوان IP الخاص به، ويجمع اسم مزود خدمة الإنترنت والمؤسسة والخدمات ودرجة الاحتيال لاكتشاف المستخدمين غير الحقيقيين.
معلومات المحاكي: يسرد adbProperties للتأكد مما إذا كان العميل جهازًا حقيقيًا أو محاكيًا، ويتحقق من وحدة المعالجة المركزية والذاكرة وأجهزة الاستشعار وتكوين يو إس بي وحالة تشغيل واجهة التصحيح ADB.
• معلومات الجذر: يحدد ما إذا كان الجهاز متجذرًا باستخدام طرق مختلفة ويوفر حالة التجذير.
• الحزم : يسرد جميع تطبيقات النظام والجهات الخارجية المثبتة على الجهاز باستخدام أوامر النظام.
• إمكانية الوصول: يُبلغ عن حالة أذونات خدمات إمكانية الوصول.
• الحصول على العنوان: يطلب حمولة المرحلة الثانية من خادم C2 من خلال توفير معرف أندرويد ويتلقى الحالة وربما ملف DLL للتجميع المشفر.

عثرت McAfee أيضًا على روابط بين Xamalicious وتطبيق احتيال إعلاني يسمى كاش ماغنت "Cash Magnet"، والذي يقوم تلقائيًا بالنقر فوق الإعلانات وتثبيت برامج الإعلانات المتسللة على جهاز الضحية لتحقيق إيرادات لمشغليه.

لذلك، من الممكن أن يقوم Xamalicious أيضًا بتنفيذ عمليات احتيال إعلانية على الأجهزة المصابة، مما يقلل من أداء المعالج وعرض النطاق الترددي للشبكة.

على الرغم من أن قوقل بلاي ليس محصنًا ضد تحميلات البرامج الضارة، إلا أن مبادرات مثل App Defense Alliance تهدف إلى اكتشاف وإزالة التهديدات الجديدة التي تظهر في متجر التطبيقات، وهو ما لا يحدث على المنصات غير الرسمية وسيئة الإشراف.

يجب على مستخدمي أندرويد تجنب تنزيل التطبيقات من مصادر خارجية، والاقتصار على التطبيقات الأساسية، وقراءة مراجعات المستخدمين بدقة قبل التثبيت، وإجراء فحص شامل لخلفية مطور/ناشر التطبيق للحد من الإصابة بالبرامج الضارة على أجهزتهم المحمولة.

المصدر: BleepingComputer