فقد كشفت شركة Symantec المتخصصة في مجال الأمن الإلكتروني، أن نوعا جديدا من البرمجيات الخبيثة الموجهة خصيصا لنظام التشغيل أندرويد، التي تمتاز بقدرتها على إعادة تثبيت نفسها حتى بعد إزالة تثبيتها يدويا، أصابت أكثر من 45 ألف جهاز أندرويد خلال الأشهر الستة الماضية.
وتأتي هذه النتائج الجديدة بعد أن كشفت شركة MalwareBytes عن البرمجية الخبيثة لأول مرة في أيار (مايو) الماضي، حيث قالت إن برمجية حصان طروادة المسماة xHelper صنفت بين برمجيات الأجهزة المحمولة الخبيثة العشر الأكثر اكتشافا، وقد شهدت الشركة ما تسميه "زيادة في اكتشاف" البرمجية الخبيثة التي تستهدف نظام أندرويد، التي تمتاز بقدرتها على إخفاء نفسها عن المستخدمين، وتنزيل تطبيقات ضارة إضافية، وعرض إعلانات.
وقالت "سيمانتك": "لقد كان هناك في الشهر الماضي وحده، في المتوسط 131 جهازا مصابا يوميا، و2400 جهاز في المتوسط مصاب شهريا"، وتجدر الإشارة إلى أن MalwareBytes قدرت عدد الهواتف المصابة بهذه البرمجية الخبيثة بأكثر من 33 ألفا، ما يشير إلى زيادة سريعة فيما يزيد قليلا على شهرين.
وفي حين يجري التحقيق في نشاط عن الأصول الدقيقة للتطبيق الخبيث الذي يأتي مع برمجية xHelper، إلا أن "سيمانتك" تشك في أن الإصابة بالبرمجية قد يكون مصدرها غير معروف عن طريق تطبيق نظام خبيث قادر على تنزيل البرامج الضارة باستمرار حتى بعد أن يعيد المستخدم ضبط المصنع، وإلغاء تبيتها يدويا، فيما يعتقد باحثون MalwareBytes أن البرمجية الخبيثة تنتشر عن طريق مواقع ألعاب غامضة تخدع المستخدمين لتنزيل تطبيقات من مصادر خارجية غير موثوقة.
وتأخذ برمجية xHelper سلوكها الخفي إلى مستويات جديدة من خلال عدم إنشاء رمز تطبيق، أو رمز اختصار على الشاشة الرئيسة، فالمؤشر الوحيد على وجود البرمجية، هو قسم التطبيقات في إعدادات الهاتف المصاب.
ويعني عدم وجود رمز تطبيق أنه لا يمكن تشغيل البرمجية الخبيثة يدويا. ولكن كي تتغلب البرمجية الخبيثة على المشكلة، فإنها تعتمد على مشغلات خارجية، مثل توصيل الجهاز المصاب أو فصله عن مصدر الطاقة أو إعادة تشغيل جهاز أو تثبيت تطبيق أو إلغاء تثبيته، لتشغيل ذاتها كخدمة مقدمة، الأمر الذي يقلل من فرصة التخلص منها.
ووفقا للباحثين الأمنيين، فإن البرمجية الخبيثة لا تفعل أي شيء معقد، إذ تكتفي بإمطار مالك الجهاز المصاب بوابل الإعلانات المنبثقة والمزعجة على الجهاز مع إشعارات لألعاب مجانية. ولكن الخطورة تكمن في استغلال الدخول إلى تلك الإعلانات لتقديم حمولات إضافية من البرمجيات الخبيثة نظرا لتكتيكات التهرب التي أعدت بدقة لتجنب الكشف، وقد تكون تلك البرمجيات الخبيثة خطيرة لدرجة السيطرة على الجهاز بالكامل من بعد.
وتوسعت وظائف xHelper بدرجة كبيرة في الآونة الأخيرة، ومع ذلك فإن الباحثين يحذرون من أنها تتطور باستمرار لاستهداف ضحايا جددا، وقد قادت الشفرة غير المكتملة مع عديد من المتغيرات التي تحمل شعار Jio الباحثين إلى الشك في أن المهاجمين قد يخططون لاستهداف مستخدمي "جيو" التي تعد ثاني أكبر شبكة خلوية في الهند وتمتلك أكثر من 300 مليون مشترك، ولحماية الأجهزة من مثل هذه الهجمات، يوصي الباحثون الأمنيون دائما بالحرص على تحديث الأجهزة والتطبيقات، والالتزام بتنزيل التطبيقات من متجر "جوجل بلاي"، وتوخي الحذر الشديد من مواقع الويب التي تزار.
لوحة مفاتيح تخدع الجميع
لم تكن هذه البرمجية الخبيثة التي وجهها مستخدمو الأجهزة الذكية أخيرا، حيث حذر باحثون من أن تطبيق لوحة المفاتيح Ai.type لا يزال موجودا على ملايين أجهزة أندرويد ولا يزال متاحا من متاجر أندرويد الأخرى، وأوضحوا ضرورة حذف تطبيق لوحة مفاتيح أندرويد الشهير، الذي يجري بمجرد تنزيله عمليات شراء غير مصرح بها في المحتوى الرقمي المتميز.
وقالت "جوجل" إنها أزالت التطبيق من متجرها المسمى "جوجل بلاي" في حزيران (يونيو) الماضي، لكن الباحثين يقولون: إنه تم تنزيله على 40 مليون هاتف على الأقل في جميع أنحاء العالم، وبالتالي لا يزال يمثل تهديدا.
وأوضح الباحثون في شركة تكنولوجيا الهواتف المحمولة Upstream أن التطبيق يقدم طلبات مشبوهة لشراء خدمات رقمية متميزة في الخلفية بمجرد تنزيله، حيث لا يدرك المستخدمون هذا النشاط، حيث تم اكتشاف 14 مليون طلب معاملة من 110 آلاف جهاز أندرويد فريد توجد عليه لوحة المفاتيح Ai.type، وفي حال عدم اكتشاف هذه المعاملات وحظرها، قد يكلف التطبيق ضحاياه مبالغ تصل إلى 18 مليون دولار.
وقال الباحثون إن التطبيق يقدم ملايين الإعلانات غير المرئية والنقرات المزيفة، بينما يقدم بيانات مستخدم أصلية حول المشاهدات الحقيقية والنقرات والمشتريات إلى شبكات الإعلانات، وارتفع النشاط المشبوه المرتبط بالتطبيق بعد فترة وجيزة من إزالته من متجر "جوجل بلاي"، وتم تسجيل النشاط المشبوه في 13 دولة، لكنه كان مرتفعا بشكل خاص في مصر والبرازيل.
أضف تعليق