وينتشر حصان طروادة الجديد الذي يستهدف نظام أندرويد عبر المواقع الإلكترونية المخترقة بما في ذلك مواقع التواصل الاجتماعي، حيث تغري المواقع الإلكترونية المستخدمين لتحميل إحدى التحديثات الجديدة الوهمية لمشغّل الفلاش من "أدوبي". وإذا وقع المستخدم في فخ نافذة التحديث ذات الشكل الظاهري السليم، وقام بتشغيل عملية التثبيت، يظهر مزيد من النوافذ الوهمية.
حيث إنه وبعد استكمال عملية التثبيت بنجاح تُظهر النافذة المزيّفة التالية رسالة "استهلاك قدر كبير من الطاقة"، وتحث المستخدم على تشغيل نمط مزيف "توفير طاقة البطارية". وعلى غرار معظم النوافذ المنبثقة للبرمجيات الخبيثة، لا تتوقف الرسالة عن الظهور حتى ينصاع المستخدم للأمر، ويتم الانتقال إلى قائمة إمكانية الوصول في "أندرويد" التي تظهر مجموعة من الخدمات مع وظائف الوصول. ومن بين الخدمات المشروعة، تظهر خدمة جديدة (يشكلها البرنامج الخبيث خلال عملية التثبيت) تحت اسم "توفير طاقة البطارية". ومن ثم تطلب الخدمة الإذن بمراقبة إجراءات المستخدم، واسترداد محتوى النافذة وتفعيل الاستكشاف عبر اللمس وهي إجراءات مهمة جدا للأنشطة الخبيثة في المستقبل، التي تتيح للمهاجم تقليد النقرات التي ينفذها المستخدم لاختيار أي شيء تظهره شاشة المستخدمين.
وبمجرد تمكينها، تختفي أيقونة الفلاش الوهمية، إلا أن البرمجية الخبيثة تستمر في العمل في الخلفية لتزويد مطور البرمجية بالمعلومات اللازمة حول الجهاز الضحية، وهنا، يصبح الإذن بتقليد ضغطات المستخدم أمرا سهل التنفيذ ــــ وتمتلك البرمجية الخبيثة الآن حرية تحميل وتركيب وتنفيذ وتنشيط حقوق مسؤول الجهاز لمزيد من البرمجيات الخبيثة الإضافية دون الحاجة إلى موافقة المستخدم، وبشكل غير مرئي تحت شاشة القفل الوهمية. وبعد استكمال العمليات السريّة للتطبيق الخبيث، تختفي الطبقة المتراكبة للشاشة ليعود المستخدم إلى متابعة استخدام جهازه المحمول ـــ بعد أن أصبح مخترقا من البرمجية الخبيثة التي تم تحميلها.
وللتأكد من إصابة جهاز المستخدم وإزالة البرمجية الخبيثة يجب على المستخدم الدخول والتحقق من خدمة "توفير طاقة البطارية" ضمن قسم "الخدمات" في قائمة إمكانية الوصول. ويعتبر الجهاز مخترقا في حال وجود مثل هذه الخدمة. ويؤدي رفض منح الإذن للخدمة إلى عودة المستخدمين مجددا إلى النافذة المنبثقة الأولى، دون التخلص من البرمجية الخبيثة، ولإزالتها، يجب إلغاء تنصيب البرنامج يدويا عن طريق مدير التطبيقات الخاص بنظام أندرويد، وفي بعض الحالات، يمكن إزالتها عبر إعدادات الأمان.
أضف تعليق