تم اكتشاف سلالة جديدة من البرمجيات الخبيثة على نظام التشغيل Android تسمى Goldoson في متجر Google Play الرسمي والتي تغطي أكثر من 60 تطبيقًا شرعيًا تحتوي مجتمعة على أكثر من 100 مليون عملية تنزيل.
تم تتبع ثمانية ملايين عملية تثبيت إضافية من خلال متجر ONE ، وهو واجهة متجر تطبيقات تابعة لجهات خارجية رائدة في كوريا الجنوبية.
يعد المكون المارق جزءًا من مكتبة برامج تابعة لجهة خارجية تستخدمها التطبيقات المعنية ، وهو قادر على جمع معلومات حول التطبيقات المثبتة ، والأجهزة المتصلة بشبكات Wi-Fi والبلوتوث ، ومواقع GPS.
وقال SangRyol Ryu ، الباحث الأمني في McAfee ، في تقرير نُشر الأسبوع الماضي: “علاوة على ذلك ، فإن المكتبة مزودة بوظيفة القيام بالاحتيال على الإعلانات عن طريق النقر فوق الإعلانات في الخلفية دون موافقة المستخدم”.
علاوة على ذلك ، فهو يتضمن القدرة على تحميل صفحات الويب خلسة ، وهي ميزة يمكن إساءة استخدامها لتحميل الإعلانات لتحقيق ربح مالي. يحقق ذلك عن طريق تحميل كود HTML في WebView المخفي وتوجيه حركة المرور إلى عناوين URL.
بعد الكشف المسؤول لـ Google ، تم سحب 36 من أصل 63 تطبيقًا مسيئًا من متجر Google Play. تم تحديث التطبيقات الـ 27 المتبقية لإزالة المكتبة الضارة.
تتضمن بعض التطبيقات البارزة :
L.PINT مع L.PAY
1.قواطع طوب التمرير (تمت إزالتها)
2.حساب مدير المال والميزانية
3.TMAP – 대리، 주차، 전기차 충전، 킥보드 를 티맵 에서!
4.롯데 시네마
5.지니 뮤직 – الجني
6.컬쳐랜드 [컬쳐 캐쉬]
7.مشغل جوم
8.메가 박스 (تمت إزالته) و
9.النتيجة المباشرة ، النتيجة في الوقت الفعلي
تسلط النتائج الضوء على الحاجة إلى أن يتحلى مطورو التطبيقات بالشفافية بشأن التبعيات المستخدمة في برامجهم ، ناهيك عن اتخاذ الخطوات المناسبة لحماية معلومات المستخدمين ضد مثل هذه الإساءة.
قال كيرن سميث ، نائب رئيس هندسة المبيعات للأمريكتين في Zimperium ، “أصبح المهاجمون أكثر تطورًا في محاولاتهم لإصابة التطبيقات المشروعة عبر المنصات”.
“إن استخدام حزم SDK والتعليمات البرمجية التابعة لجهات خارجية ، وإمكانية إدخال تعليمات برمجية ضارة إلى تطبيقات مشروعة بخلاف ذلك ، يستمر في النمو فقط عندما يبدأ المهاجمون في استهداف سلسلة توريد البرامج للحصول على أكبر أثر ممكن.”
قال متحدث باسم Google لصحيفة The Hacker News إنه يتخذ الإجراءات اللازمة “عندما نجد تطبيقات تنتهك سياساتنا” وأنها أبلغت المطورين بتنفيذ الإصلاحات اللازمة لجعل التطبيقات متوافقة.
وأضاف عملاق التكنولوجيا: “المستخدمون محميون أيضًا بواسطة Google Play Protect ، والتي يمكنها تحذير المستخدمين من التطبيقات الضارة المحددة على أجهزة Android”.
يأتي هذا التطوير في الوقت الذي تخلت فيه Cyble عن لعبة طروادة المصرفية الجديدة التي تعمل بنظام Android والتي يطلق عليها اسم Chameleon والتي كانت نشطة منذ يناير 2023 وتستهدف المستخدمين في أستراليا وبولندا.
لا يختلف حصان طروادة عن البرامج الضارة المصرفية الأخرى التي تم رصدها في البرية نظرًا لإساءة استخدامها لخدمات الوصول إلى Android لحصد بيانات الاعتماد وملفات تعريف الارتباط وتسجيل ضغطات المفاتيح ومنع إلغاء تثبيتها وتنفيذ أنشطة شائنة أخرى.
إنه مصمم أيضًا لعرض التراكبات المارقة أعلى قائمة محددة من التطبيقات ، واعتراض الرسائل النصية القصيرة ، وحتى أنها تشتمل على وظيفة غير مستخدمة تسمح لها بتنزيل وتنفيذ حمولة أخرى.
كاميليون ، طبقًا لاسمه ، لديه ميل للتهرب من خلال دمج فحوصات مكافحة المحاكاة لاكتشاف ما إذا كان الجهاز متجذرًا أو يتم تنفيذه في بيئة تصحيح الأخطاء ، وإذا كان الأمر كذلك ، فقم بإنهاء نفسه.
للتخفيف من مثل هذه التهديدات ، يوصى المستخدمون بتنزيل التطبيقات فقط من مصادر موثوقة ، وفحص أذونات التطبيق ، واستخدام كلمات مرور قوية ، وتمكين المصادقة متعددة العوامل ، وتوخي الحذر عند تلقي الرسائل القصيرة أو رسائل البريد الإلكتروني من مرسلين غير معروفين.
Leave feedback about this