تعرض عدد كبير من مستخدمي Google Play إلى حملة تطبيقات خبيثة جديدة قادرة على غمر أجهزة أندرويد بإعلانات عشوائية، خارجة عن نطاق القوانين المعمول بها في هذا النطاق.
وفي التفاصيل، تسعة وعشرون تطبيقا سيئا للجوّال مع 3.5 مليون عملية تنزيل مجتمعة لتطبيقات الصور الضارة، والمثير للاهتمام في هذا الموضوع أن رموز التطبيقات معدة لتختفي من الشاشة الرئيسية للجهاز بعد وقت قصير من تنزيلها.
التطبيقات الخبيثة الـ29 اكتشفها باحثون في فريق White Ops Satori Threat Intelligence and Research Team بعدما أظهرت كميات كبيرة من حركة مرور الإعلانات بشكل مريب، وذلك خلال تحقيقات تقوم بها الشركة لمطاردة التهديدات.
أطلق الفريق المؤلف من الباحثين غابي سيرليغ ومايكل غيثرز وماريون حبيبي وكريستوفر سو ودينا هينز على الحملة اسم “ChartreuseBlur”، ويعود ذلك جزئيا إلى أن غالبية التطبيقات تتضمن كلمة “Blur” في اسم الحزمة الخاصة بها. فيما يزعم آخرون أن هذه التطبيقات تسمح للمستخدمين بطمس وتمويه أجزاء من الصورة، وبذلك تستخدم خدمة Blur.
تطبيقات خبيثة قد تؤذي جهازكم.. فكيف تعمل؟
في سياق متصل، أوضح الباحثون أن هناك العديد من الخصائص الرئيسية التي يمكن أن تنبه المستخدمين إذا وقعوا ضحية تنزيل أحد هذه التطبيقات السيئة.
إحدى السمات المميزة للتطبيق هي أنه بمجرد تنزيله، يقوم بإخفاء الرمز من الشاشة الرئيسية مما يجبر المستخدمين على الانتقال إلى قائمة الإعدادات للعثور على التطبيق في حال أرادوا التأكد من إذا تم تثبيته أو فتحه. هذا يجعل من الصعب للغاية على المستخدم العادي إزالة التطبيق من الهاتف بشكل سهل.
على سبيل المثال، أجرى الباحثون تحليلا على أحد التطبيقات على وجه الخصوص يدعى Square Photo Blur، ووجدوا أن سلوكه كان متناسقا مع جميع التطبيقات الضارة. فبمجرد تنزيل التطبيق، يبدأ في قصف الجهاز الخاص بالمستخدم بإعلانات عشوائية تظهر من العدم، وهي ظاهرة تعرف بتقديم إعلانات خارج السياق القانوني العام (OOC).
ومن السمات المميزة الأخرى لهذه التطبيقات أن لدى جميع مطوري البرامج المدرجين أسماء عشوائية تبدو إنجليزية مزيفة بشكل واضح، وفقا للتقرير. على سبيل المثال، كان مطور البرامج المدرج في Square Photo Blur على Google Play يسمى Thomas Mary.
مراحل عمل التطبيقات الخبيثة
لاحظ الباحثون أيضا أن التطبيقات في الحملة بشكل عام تشهد تطورا من ثلاث مراحل. في المرحلتين الأوليين، يبدو الرمز بريئا، ولكن المرحلة الثالثة هي حيث يبدأ انشاط الشنيع لعمل التطبيق.
– في المرحلة الأولى، يتم تثبيت التطبيق باستخدام Qihoo packer، وهو في حد ذاته غير مشبوه. كما أنه يستخدم تطبيق stubs الذي يستخدمه المطورون عادة كعنصر نائب لرمز لم يتم تطويره بعد أثناء اختبار الأجزاء الأخرى من الرمز.
– يؤدي ذلك إلى إعداد التطبيق للمرحلة الثانية، حيث يتم استخدامه كغلاف حول تطبيق Blur آخر ، com.appwallet.easyblur ، والذي يكون مرئيًا بعد تفريغ Square Photo Blur. هذا التطبيق لا يفعل أي شيء ضار بحيث لاحظ الباحثون أن الجهات الفاعلة في مجال التهديد ربما تستخدمه لخداع المستخدمين للاعتقاد بأنهم قاموا بتنزيل تطبيق شرعي.
– المرحلة الثالثة من تثبيت التطبيق هي المكان الذي يبدأ فيه التطبيق بالتسبب في ضرر. في هذه المرحلة، يُنشئ الرمز الضار إعلانات OOC، ويظهر في شكل حزم com.bbb.، مثل com.bbb.NewIn. بحيث تظهر الاعلانات في كل مرة يفتح فيها المستخدم الشاشة أو يبدأ شحن الهاتف أو ينتقل من خدمة البيانات الخلوية إلى WiFi والعكس صحيح.
صحيح أنه تمت إزالة التطبيقات من متجر Google Play ، ولكن سيحتاج المستخدمون إلى إزالة أي تطبيقات تم تثبيتها بالفعل بأنفسهم. وهنا تقع المسؤولية على كل شخص يشعر بأن جهازه يقوم بإظهار إعلانات عشوائية من العدم، فيقوم بالبحث عن التطبيق المسؤول عن ذلك وإزالته.
