تطبيقات خبيثة مستمرة في التواجد على متجر “قوقل بلاي” وتستخدم حزم أيقونات قوقل الرسمية
يتمتع متجر “قوقل بلاي” للتطبيقات بسمعة جيدة باعتباره المقصد الأكثر أمانًا على الإنترنت لتنزيل وتحميل تطبيقات نظام تشغيل أندرويد، وتقوم شركة قوقل بعمل جيد في توعية المستخدمين، وتقديم كافة المعلومات والإرشادات اللازمة للحد من تعرض المستخدم للبرمجيات الضارة، والمخاطر الأخرى من خلال تهيئة هواتفهم لحجب كافة متاجر التطبيقات التي تقوم بالتحميل في الخلفية ذاتياً، بالإضافة إلى المتاجر البديلة التي يمكن أن تتواجد على نظام تشغيل أندرويد.
رصدت شركة سيمانتك عدد من هذه التطبيقات خلال الفترة الماضية، التي نجحت في الولوج إلى هذا المتجر الآمن بطريقة ما. حيث تم اكتشاف مؤخراً مجموعة من التطبيقات التي تمكنت من الظهور مرة أخرى في متجر “قوقل بلاي” حتى بعد أن قامت سيمانتك بتنبيه المتجر والابلاغ عنها، وتمت إزالة التطبيقات الأصلي. تم نشر نفس التطبيق، بنفس الرمز الكودي على متجر “قوقل بلاي” باسم مختلف قليلاً، وتحت ناشر جديد.
تم اكتشاف في الآونة الأخيرة 38 تطبيقاً خبيثاً تمارس أنشطتها المشبوهة على متجر قوقل بلاي من خلال التخفي على هيئة ألعاب إلكترونية وتطبيقات تعليمية. وتخفي هذه البرمجيات الخبيثة نفسها داخل أجهزة المستخدمين من خلال مسح أيقوناتها من شاشات الأجهزة. وتقوم بإعادة توجيه الضحية لتثبيت تطبيق آخر من قوقل بلاي يحتوي على إعلانات ترويجية، وبحد أدنى من الوظائف الإضافية. وبالإضافة إلى ذلك، تحتوي هذه الإعلانات الترويجية الخبيثة على روابط تشعبية متعددة في الخلفية دون عِلم المستخدم.
وقد تم نشر هذه البرمجيات على متجر “قوقل بلاي” في ديسمبر 2017 من خلال مستخدم يُدعى learningdevelopment والذي دخل عبر البريد الإلكتروني [email protected].
وظهرت هذه البرمجيات تحت تصنيف تطبيقات الألعاب أو التعليمية.
وبمجرد تثبيت البرمجية الخبيثة، فإنها تقوم بتوجيه واجهة برمجة التطبيقات setComponentEnabledSettings لمسح أيقونة البرمجية من الشاشة الرئيسية لجهاز الضحية، بينما تمارس نشاطها الخبيث من وراء الستار.
وعلى الرغم من عدم قيام البرمجية بالوظيفة التي تدّعي تقديمها، إلا أنها تقوم بإعادة توجيه الضحية لتثبيت تطبيق آخر من المتجر بمجرد إطلاقها. ويُسمى التطبيق الترويجي Change my voice، ويعمل بالاسم المجمع com.ModifySound.VoiceChanger، وقد تم تطويره من قبل شركة TopTech. وعلى الرغم من أن التطبيق يتضمن وظيفة بسيطة عبارة عن تعديل الصوت، فهو يقوم أيضاً بإطلاق عدد كبير من الإعلانات الترويجية.
وفي الوقت الذي يعمل هذا التطبيق الخبيث بطريقة خفية، إلا أنه يحتوي على خدمة تعمل من خلف الكواليس تقوم باستكشاف وضعية اتصال الجهاز بالشبكة بصفة مستمرة. وبمجرد التأكد من الاتصال، يقوم التطبيق باستكشاف ما إذا كان جهاز الضحية قام بتثبيت أي من الـ 37 تطبيقاً خبيثاً سالفة الذكر. فإذا تأكّد من وجودها، يقوم التطبيق بتحميل عدد من الروابط التشعبية في الخلفية. وتقوم بعد ذلك هذه الروابط بتوجيه الجهاز إلى مجموعة من المدوّنات، حيث يُرجّح أن يتم استخدام التطبيق لزيادة حركة المرور عبر الشبكة للوصول إلى هذه المواقع.
وحتى الآن، يبدو أن معظم المستخدمين الذين يقومون بتنزيل هذه التطبيقات هم من الولايات المتحدة والمملكة المتحدة وجنوب أفريقيا والهند واليابان ومصر وألمانيا وهولندا والسويد. ونظراً لوجود هذه التطبيقات الخبيثة على متجر قوقل بلاي بأسماء وتوصيفات مشروعة، فقد أدى ذلك إلى تنزيلها على ما لا يقل عن 10 آلاف جهاز. وكانت شركة “سيمانتيك” قد أخطرت شركة قوقل بالأمر والتي قامت بدورها بمسح هذه التطبيقات الخبيثة من متجر قوقل بلاي.
تظهر هذه البرامج الضارة (Android.Reputation.1) على متجر “قوقل بلاي” متخفية في أكواد سبعة تطبيقات على الأقل في الولايات المتحدة الأمريكية، وتقدم ميزات ترفيهية، ومفيدة، وأحيانًا خفية. وتشمل هذه الإضافات لوحة المفاتيح للرموز المصورة (Emoji) ، برامج إدارة ذاكرة التخزين، الآلات الحاسبة، وبرامج قفل وحماية التطبيقات، ومسجلات المكالمات. لم تعمل أي من التطبيقات التي قمنا باختبارها فعليًا كما تم الإعلان عنها من خلال صفحاتها على متجر “قوقل بلاي” الخاصة بهم. بمجرد تثبيت التطبيق، يبدأ في اتخاذ تدابير مختلفة للبقاء على ذاكرة الجهاز، ثم يختفي، ويمسح كافة آثاره.
احمى جهازك من البرامج الضارة عبر اخذ هذه الاحتياطات في الاعتبار:
- احرص على تحديث تطبيقاتك دوماً.
- لا تقم بتحميل التطبيقات من مواقع أو متاجر غير مصرح لها .
- قم بتحميل التطبيقات فقط من المصادر الموثوقة .
- انتبه جيدًا للأذونات التي تطلبها التطبيقات واقراءها بعنياية.
- قم بحفظ نسخ احتياطية من بياناتك الهامة .