يتسلل إلى «غوغل بلاي» ويتخفى في تطبيقات «المحمول» ليسرق البيانات

«روبوت برمجي» خبيث يصيب 100 ألف مستخدم في 196 دولة

الهجوم الجديد استهدف جميع تطبيقات «أندرويد» خصوصاً تطبيقات الألعاب. من المصدر

كشف فريق من الباحثين في شركة «تريند مايكرو» المتخصصة في أمن المعلومات، عن أول هجمة أمنية في العام الجديد، التي تمثلت بـ«روبوت برمجي» خبيث، استطاع التسلل إلى متجر «غوغل بلاي»، والتخفي في العديد من التطبيقات والبرامج التي يقوم ملايين من مستخدمي نظام التشغيل «أندرويد» بتنزيلها على هواتفهم الذكية.

وأوضح الفريق في تقرير للشركة، نشرته أخيراً، أنه ما إن يتم تنزيل أي تطبيق حتى يقوم الكود الخبيث الذي نشره «الروبوت» البرمجي بالتطفل على موقع المستخدم وسجلات اتصالاته وبياناته الحساسة، سواء في مجال المال أو العمل، وذلك بغرض السرقة، مشيراً إلى أن الألعاب الإلكترونية التي يتم تشغيلها على الأجهزة المحمولة تأتي في صدارة التطبيقات التي يستهدفها الهجوم الجديد، تليها بعض التطبيقات العامة الأخرى.

وقدر باحثو «تريند مايكرو» عدد المستخدمين الذين قاموا بتنزيل تطبيقات محتوية على الأكواد الخبيثة التي يبثها «الروبوت»، بـ100 ألف مستخدم منتشرين في 196 دولة، لافتين إلى أن نحو ثلث الضحايا تم رصدهم في الهند.

وقال الباحثون إنه بالنظر إلى البلدان الأكثر تضرراً، يبدو أن مجرمي الإنترنت يعملون في شبه القارة الهندية وحولها، واصفين القراصنة الجدد بأنهم «أكثر من مجرد أطفال صغار، لكنهم ليسوا متقدمين أو مغامرين».

وعن أبرز التطبيقات التي تعرضت للتلويث بتلك الأكواد الخبيثة، كانت لعبة «الطائر المرفرف»، ولعبة «الكلب فلابي بير»، فضلاً عن بعض الألعاب العامة مثل «المصباح اليدوي» و«المحاكي».

«موبست سباي»

وبيّن الباحثون أن «الروبوت» يغرس أكواداً خبيثة من نوع يعرف باسم «موبست سباي» داخل تطبيقات «المحمول» المصابة، وبعد قيام المستخدم بتنزيل وتثبيت التطبيق يتحقق الكود الخبيث من من توافر شبكة الجهاز، قبل الاتصال بخادم الأوامر والتحكم التابع للمهاجمين، ثم يجمع معلومات حول الجهاز، بما في ذلك البلد المسجل واسم الحزمة والشركة المصنعة. وأضافوا أنه بمجرد اكتساب التطبيق بعض الصدقية ويصبح لديه توزيع جيد بين المستخدمين، سيصدر مطور التطبيق بعد ذلك تحديثاً يسمح بتمكين وتشغيل الخواص الضارة.

وتابع باحثو «تريند مايكرو» أنه بعد دخول الكود الخبيث في مرحلة النشاط والتشغيل، يبدأ تلقي الأوامر الصادرة عن المهاجمين، ليتجسس على الرسائل النصية التي تجري من خلال الهاتف، كما يستولي على قوائم الاتصال ومجموعة متنوعة من الملفات، مثل لقطات الشاشة والتسجيلات الصوتية وبيانات برنامج «واتس أب».

هجمات تصيّد

وإضافة إلى سرقة الملفات مباشرة من جهاز «أندرويد» المخترق، أشار الباحثون إلى أنه يمكن لكود «موبست سباي» جمع بيانات اعتماد إضافية بواسطة إجراء هجمات التصيد والاحتيال، فيقوم بعرض نوافذ منبثقة مزيفة، تشبه ما يصدر عن مواقع مثل «فيس بوك» و«غوغل»، ويطلب من المستخدم تسجيل الدخول إلى حسابه، وبعد ذلك يظهر رسالة تنبيه مزيفة تقول إن تسجيل الدخول لم يكن ناجحاً ثم يختفي، بعد أن يكون قد حقق هدفه وهو الحصول على اسم المستخدم وكلمة المرور.

وذكر الباحثون أنه في نهاية المطاف، تصبح كميات كبيرة من بيانات الضحايا التي سرقها المهاجمون، مطروحة للبيع في مواقع الإنترنت المظلمة أو السوداء، ما يعرض خصوصيتهم للخطر، ويتركهم عرضة لهجمات إضافية.

وأشاروا إلى أنه تبين كذلك أن القائمين بالهجمات الجديدة ينتمون إلى فئة المهاجمين الذين يعملون على تغيير إمكانات البرامج الضارة بشكل منتظم، وتغيير الأكواد الخاصة بها بشكل طفيف للتأكد من عدم اكتشافها بواسطة عناصر التحكم بالأمان في متجر «غوغل بلاي»، موضحين أن التحديثات المنتظمة هي علامة أخرى تشير إلى أن البرمجيات الخبيثة من صنع مجموعة إجرامية ذات موارد جيدة.

تلويث التطبيقات

وأفاد الباحثون بأن عملية تلويث التطبيقات بتلك الأكواد تتم في الغالب بعد تحميلها على متجر «غوغل بلاي»، لأن هذه التطبيقات تأتي إلى المتجر أولاً نظيفة خالية من الاكواد الخبيثة، لأن شركة «غوغل» تفرض العديد من عمليات التحقق الصارمة للتطبيقات الجديدة قبل وضعها على المتجر. وقالوا إنه بناء على ذلك، فإن الجزء الأصعب من الهجمة يتمثل في اختراق الـ«روبوت البرمجي» الخبيث لمتجر «غوغل بلاي»، ثم تمكنه بعد ذلك من الوصول إلى التطبيقات النظيفة وتلويثها قبل تحميلها من قبل المستخدمين.

رد «غوغل»

من جهتها، أكدت «غوغل» أنها أزالت جميع التطبيقات التي هاجمها الـ«روبوت البرمجي» الخبيث، من متجر «غوغل بلاي»، كما أكدت أنها تراجع باستمرار إجراءات الأمن على المتجر لمنع تسلل أي برمجيات خبيثة من الوصول إلى المتجر على تلك الصورة.

هجمة مشابهة

أفادت شركة «تريند مايكرو» بأن هجمة الـ«روبوت البرمجي» الجديدة تتشابه مع هجمة سابقة بـ«الروبوتات البرمجية الخبيثة»، وقعت في يونيو الماضي، وكشفها فريق «آي بي إم إكس فورس» المتخصص في أمن المعلومات، مشيرة إلى أن هذه الهجمة حملت اسم «أنوبيس». وذكرت أنه بمجرد تثبيتها تلك الـ«روبوتات» تتنكر في صورة تطبيق يسمى «غوغل للحماية»، الذي يطلب حقوق الوصول إلى البيانات الخاصة بالمستخدم، ويبدو وكأنه يطلب هذه البيانات بصورة شرعية.

طباعة