هناك نوع جديد من البرامج الضارة يطارد مستخدمي أندرويد . في هذه المناسبة ، تم اكتشافه خارج غوغل بلاي ويستخدم تقنية أكثر غرابة لسرقة البيانات الحساسة من المستخدمين المصابين. أطلق عليه الباحثون الذين اكتشفوه اسم CherryBlos ، ويعتقد أن المطورين له ربما حاولوا توزيع تطبيقات مصابة أخرى من خلال متجر تطبيقات أندرويد الرسمي.
اكتشف باحثو TrendMicro CherryBlos أثناء تحليل عدد من التطبيقات الموزعة عبر قنوات خارج متجر غوغل بلاي أنه يمكن تنزيل التطبيقات من خلال المواقع التي تروّج لعمليات الاحتيال لكسب المال.
ومن المثير للاهتمام ، أنه تم اكتشاف أحد التطبيقات المصابة أيضًا في متجر غوغل بلاي قادمة من نفس مطور التطبيق المصاب. ومع ذلك ، فإن إصدار المتجر لا يحتوي على رمز ضار ، على الرغم من اكتشاف تطبيقات أخرى مشبوهة في كتالوج متجر غوغل بلاي.
أكثر ما لفت انتباه الباحثين هو كيفية عمل البرمجيات الخبيثة. استخدم منشئوها إصدارًا مدفوعًا من البرامج القادرة على تشفير الشفرة لمنع التحليل المحتمل من اكتشاف الوظائف الضارة.
على الرغم من ذلك ، تم العثور على التطبيقات المصابة بـ CherryBlos تستخدم تقنيات تهدف إلى ضمان بقاء التطبيق نشطًا في جميع الأوقات.
وبالتالي ، عندما قام المستخدم بتشغيل تطبيق من خدمة بيع وشراء العملات المشفرة ، مثل Binance ، قام البرنامج الضار بتركيب نافذة على الشاشة تحاكي التطبيق الشرعي. ومع ذلك ، عندما أجرى المستخدمون عمليات سحب إلى محافظهم ، استبدل CherryBlos العنوان بعنوان محفظة يتحكم فيها المهاجم.
من أجل العمل ، استفادت البرامج الضارة من أذونات إمكانية الوصول في أندرويد ، والتي تمنح التطبيقات القدرة على تراكب النوافذ على الشاشة دون أن يكون المستخدم على علم بذلك. وبالمثل ، تم استخدام تقنيات لمنع المستخدم من إلغاء تثبيت التطبيق.
في المجموع ، تم اكتشاف أربعة تطبيقات بداخلها برامج ضارة CherryBlos. هم كالتالي:
GPTalk
Happy Miner
Robot 999
SynthNet
تم اكتشافهم جميعًا خارج غوغل بلاي . ومع ذلك ، تم العثور أيضًا على تطبيقات أخرى مشبوهة في كتالوج متجر تطبيقات أندرويد الرسمي ، على الرغم من أن غوغل تدعي أنها أزالتها بعد تلقي إشعار TrendMicro.
كما هو الحال دائمًا ، يوصي الخبراء بتجنب استخدام مصادر خارج غوغل بلاي عند تنزيل التطبيقات ، وكذلك التأكد من نوع الأذونات الممنوحة لكل منهم.
ليست هناك تعليقات:
إرسال تعليق