كاسبرسكي: تطبيق خبيث يغزو نصف مليون مستخدم

  • 9/19/2016
  • 00:00
  • 3
  • 0
  • 0
news-picture

اكتشف خبراء كاسبرسكي لاب مؤخرا تطبيقا خبيثا جديدا على متجر Google Play: يعرف باسم (Guide for Pokémon Go) لديه قدرة السطو على صلاحية روت للوصول إلى جذر نظام أندرويد المشغل لأجهزة الهواتف الذكية، واستخدام ذلك لتثبيت وإزالة التطبيقات وعرض الإعلانات غير المرغوب فيها. وقد تم تحميل التطبيق لأكثر من 500 ألف مرة، وسجل هناك ما لا يقل عن 6000 إصابة ناجحة. وبدورها أبلغت كاسبرسكي لاب شركة Google بشأن برمجية حصان الطروادة الخبيثة ومن ثم تمت إزالة التطبيق من متجر Google Play. ظاهرة بوكيمون جو وقد نتج عن ظاهرة (Pokémon Go) العديد من التطبيقات المتشابهات بسبب الاهتمام متزايد من جانب مجرمي الإنترنت. وكشفت نتائج تحليلات كاسبرسكي لاب لتطبيق (Guide for Pokémon Go) عن وجود شيفرة خبيثة تقوم بتحميل برمجية التجذير الخبيثة، وهو ما يضمن الوصول إلى نواة نظام التشغيل أندرويد لأغراض تثبيت وإزالة التطبيق بالإضافة إلى عرض الإعلانات. تتضمن برمجية حصان الطروادة الخبيثة هذه بعض المزايا المثيرة للاهتمام من شأنها أن تساعد على تخطي برامج الكشف. على سبيل المثال، لا يتم تفعيل هذه البرمجية لحظة قيام الضحية بتشغيل التطبيق. وبدلا من ذلك، تنتظر حتى يقوم المستخدم بتثبيت أو إزالة تطبيق آخر، وبعد ذلك تقوم بالتحقق لمعرفة ما إذا كان هذا التطبيق يعمل على جهاز حقيقي أو افتراضي. في حال كان التطبيق يعمل على جهاز حقيقي، تنتظر برمجية حصان الطروادة لمدة ساعتين إضافيتين قبل أن تباشر نشاطها الخبيث. ولن تكون الإصابة مضمونة حتى بعد انقضاء تلك المهلة. بعد الاتصال بخادم التحكم والسيطرة وتحميل تفاصيل الجهاز المصاب، بما في ذلك الدولة، واللغة، وموديل الجهاز ونظام التشغيل، تنتظر برمجية حصان الطروادة الخبيثة لاستلام الرد. وبعد أن تتلقى استجابة من المصدر فقط تقوم البرمجية الخبيثة بمواصلة تنفيذ مزيد من الطلبات وتحميل وتثبيت وتنفيذ أنماط البرمجيات الخبيثة الإضافية. وهذا النمط التشغيلي يشير إلى أنه بإمكان خادم التحكم والسيطرة، على سبيل المثال إيقاف استمرار الهجوم في نقطة ما في حال الرغبة بتخطي مجموعة معينة من المستخدمين فقط لأنه لا يريد استهدافهم، أو تخطي أنواع أخرى من الأجهزة التي يشتبه بأنها وهمية/افتراضية. وهذا بدوره يوفر طبقة إضافية من الحماية للبرمجية الخبيثة. صلاحيات الروتينج وبمجرد تفعيل صلاحيات الروتينج (rooting)، تقوم برمجية حصان الطروادة الخبيثة بتثبيت أنماطها في مجلدات نظام الجهاز، ثم تقوم خلسة بتثبيت وإزالة التطبيقات الأخرى وعرض الإعلانات غير المرغوب فيها للمستخدم. ويظهر تحليل كاسبرسكي لاب أن هناك إصدار واحد على الأقل من تطبيق (Pokémon Guide) الخبيث قد كان موجودا في متجر Google Play خلال شهر يوليو 2016. بالإضافة لذلك، رصد الباحثون وجود ما لا يقل عن تسعة تطبيقات أخرى مصابة بنفس برمجية حصان الطروادة الخبيثة وكانت موجودة في متجر Google Play في أوقات مختلفة منذ ديسمبر 2015. وتشير بيانات كاسبرسكي لاب إلى أن هناك أكثر من 6000 إصابة ناجحة حتى الآن، بما فيها روسيا والهند وإندونيسيا. ومع ذلك باعتبار أن التطبيق الخبيث كان موجها نحو المستخدمين الناطقين باللغة الإنجليزية، إلا أن بعض الناس القاطنين في تلك المناطق الجغرافية وغيرهم كانوا على الأرجح معرضين للإصابة أيضا. إعلانات غير مرغوبة وقال رومان يوناشيك محلل أول للبرمجيات الخبيثة في كاسبرسكي لاب: «في عالم الإنترنت، حيثما يتوجه المستهلكون، نجد هناك مجرمي الإنترنت الذين سرعان ما يتتبعون أثرهم. وتطبيق Pokémon Go ليس استثناء من ذلك. وقد لا يلاحظ ضحايا هذه البرمجية -على الأقل في بداية الإصابة- الزيادة في الإعلانات غير المرغوب فيها، إلا أن الآثار طويلة المدى لهذه الإصابة قد يكون لها تداعيات أسوأ بكثير. وفي حال وقعت ضحية لهذه البرمجية الخبيثة، فاعلم بأن هناك شخص ما داخل هاتفك المتحرك ويسيطر كليا على نظام التشغيل الخاص بجهازك ويتجسس على كل ما تقوم به من أفعال وما تخزنه من معلومات. على الرغم من أنه قد تمت إزالة التطبيق كليا من المتجر، لا يزال هناك ما يصل إلى نصف مليون شخص معرضين للإصابة بهذا التطبيق، ونأمل بأن يكون هذا الإعلان مؤشر تحذير لهم لضرورة اتخاذ إجراءات الوقاية اللازمة لحمايتهم».;

مشاركة :