11 مليون جهاز مصاب بـ”روبوتات ضارة”.. ماذا عن هاتفك؟
التاج الإخباري – توصل الباحثون قبل خمس سنوات إلى اكتشاف قاتم، عبارة عن تطبيق أندرويد شرعي في متجر “غوغل بلاي” تم تحويله سرًا إلى تطبيق ضار بواسطة مكتبة استخدمها المطورون لكسب عائدات الإعلانات. وبذلك، أصيب التطبيق برمز تسبب في اتصال 100 مليون جهاز مصاب بخوادم يسيطر عليها المهاجمون وتنزيل تطبيقات سرية. والآن، يكرر التاريخ نفسه. فقد أفاد باحثون أنهم وجدوا تطبيقين جديدين تم تحميلهما من غوغل بلاي 11 مليون مرة، مصابين بنفس عائلة البرامج الضارة. ويعتقد الباحثون من كاسبيرسكي أن مجموعة أدوات تطوير البرامج الضارة لدمج قدرات الإعلان هي المسؤولة مرة أخرى.
حرفية ذكية
مجموعة أدوات تطوير البرامج، المعروفة باسم SDK، هي تطبيقات توفر للمطورين أطر عمل يمكنها تسريع عملية إنشاء التطبيق بشكل كبير من خلال تبسيط المهام المتكررة. وعند سوء استخدامها، يمكن أن تدعم وحدة SDK غير الموثوقة ظاهريًا عرض الإعلانات. لكن خلف الكواليس، تقدم مجموعة من الأساليب المتقدمة للاتصال الخفي مع الخوادم الضارة، حيث تقوم بتحميل بيانات المستخدم وتنزيل التعليمات البرمجية الضارة وتحديثها في أي وقت. وتُعرف عائلة البرامج الضارة الخفية في كلتا هذه باسم Necro. لكن هذه المرة، تستخدم بعض المتغيرات تقنيات مثل التخفي، وهي طريقة تعتيم نادرًا ما تُرى في البرامج الضارة المشابهة.
وبمجرد إصابة الأجهزة بهذا البرنامج الضار، فإنها تتصل بخادم الأوامر والتحكم الذي يتحكم فيه المهاجم، وترسل طلبات ويب تحتوي على بيانات مشفرة تبلغ عن معلومات حول كل جهاز مخترق.
وأوضح الباحثون أن وحدة SDK الضارة تستخدم برمجية تخفي بسيطة للغاية، لكنها فعالة جدًا. كذلك تقوم البرمجية بتنزيل حمولات لاحقة يتم تثبيتها، تعمل بدورها على تنزيل مكونات إضافية ضارة يمكن خلطها ومطابقتها لكل جهاز مصاب على حدة، لأداء مجموعة متنوعة من الإجراءات المختلفة.
تطبيقات مصابة
وجد الباحثون برامج Necro في تطبيقين على غوغل بلاي. وكان أحد هذه التطبيقات هو Wuta Camera، وهو تطبيق تم تنزيله 10 ملايين مرة حتى الآن.
وتحتوي إصدارات Wuta Camera على SDK ضار يصيب التطبيقات. وقد تم تحديث هذا التطبيق لإزالة المكون الضار. كما أصيب تطبيق منفصل تم تنزيله حوالي مليون مرة يُعرف باسم Max Browser، ولم يعد هذا التطبيق متاحًا في غوغل بلاي.
كذلك، وجد الباحثون أن Necro يصيب مجموعة متنوعة من تطبيقات أندرويد المتوفرة في الأسواق البديلة. وفي غالب الحالات، تروج هذه التطبيقات لنفسها على أنها إصدارات معدلة من تطبيقات شرعية مثل واتساب وغيرها. وأكد الباحثون على أنه يجب على الأشخاص الذين يشعرون بالقلق من احتمال إصابتهم بـ Necro التحقق من تطبيقاتهم، والاعتماد على تطبيقات مكافحة الفيروسات الموثوقة لحماية أجهزتهم.