فيروسات خطيرة لسرقة الأموال تستغل متجر جوجل بلاي لتنفيذ هجماتها

كشفت شركة Eset أن موجة جديدة من برمجيات حصان طروادة الخطيرة المتخصصة بسرقة الحسابات المصرفية والعاملة على نظام التشغيل أندرويد نجحت مجددًا في الدخول إلى متجر جوجل بلاي مسلحةً بأساليب وتقنيات جديدة، وذلك بعد أن حذرت الشركة من خطورة هذه البرمجيات في بداية هذا العام.

وقالت الشركة المتخصصة في أمن المعلومات أن البرمجية الخبيثة المسماة BankBot قد واصلت تطورها خلال العام الحالي لتظهر بأشكال ونسخ مختلفة داخل متجر جوجل بلاي وخارجه.

وأضافت الشركة السلوفاكية أن النمط الجديد من حصان طروادة والذي اكتشفته في المتجر بتاريخ 4 سبتمبر يعد أولى تلك البرمجيات الخبيثة التي تدمج أحدث خطوات تطور برمجية “Doubt BankBot” بشكل ناجح؛ إذ تم تحسين أنماط تشفير البيانات، وتعزيز دقة تفريغ حمولة البيانات، إلى جانب الاستعانة بتقنيات ماكرة لنقل البرمجيات عبر استغلال صلاحيات الوصول في نظام تشغيل أندرويد.

وذكرت Eset أن حالات استغلال صلاحيات الوصول لنظام تشغيل أندرويد باستخدام عدد من برمجيات حصان طروادة سُجلَّت خارج متجر جوجل بلاي في معظم الأحيان. وأكدت التحليلات التي صدرت حديثًا عن شركتي SfyLabs و Zscaler أن قراصنة الإنترنت الذين يعملون على نشر “BankBot” قد نجحوا في رفع التطبيق من خلال استغلال صلاحيات الوصول الخاصة بمتجر جوجل بلاي، من دون تضمينه حمولة بيانات البرمجيات الخبيثة الخاصة بالسرقات المصرفية.

ويتمثل حل هذا اللغز في أن حمولة بيانات البرمجية الخبيثة قد تمكنت من الانسلال متجر جوجل بلاي بشكل لعبة تحمل اسم "Jewels Star Classic" (وتجدر الإشارة هنا إلى أن القراصنة أساؤوا استخدام الاسم الشهير لإحدى منصات الألعاب المشروعة ”Jewels Star" المطورة من قبل شركة ITREEGAMER والتي لا ترتبط على الإطلاق بهذه الهجمة البرمجية الخبيثة).

وقالت شركة Eset إنها قامت بإبلاغ الفريق الأمني لشركة جوجل بشأن هذا التطبيق الخبيث، والذي تم تنزيله من قبل نحو 5 آلاف مستخدم قبل أن يقوم المتجر بإزالته.

كيف تعمل هذه البرمجية الخبيثة؟

أوضحت الشركة أنه حينما يقوم المستخدم غير المنتبه بتنزيل لعبة "Jewels Star Classic" – المطوّرة من قبل GameDevTony، فإنه يحصل على لعبة يمكن تشغيلها على نظام أندرويد. وباستخدام بعض الإضافات المخفية، يمكن للقرصان تشغيل حمولة البيانات الخبيثة الكامنة داخل اللعبة، إلى جانب خدمة خبيثة يتم تفعيلها بعد مهلة معينة تم تحديد مدتها خلال وقت سابق.

ويتم تشغيل الخدمة الخبيثة بعد مرور 20 دقيقة على التشغيل الأول للعبة “Jewels Star Classic”. وبعدها يقوم الجهاز المصاب بالبرمجية الخبيثة بعرض تنبيه يطالب المستخدم بتمكين خدمة تحمل اسم Google Service (ملاحظة: يظهر التنبيه بشكل مستقل عن النشاط الحالي للمستخدم، ودون أي علاقة ظاهرة له مع اللعبة).

وبعد ضغط المستخدم على خيار “موافق”، والذي يمثل السبيل الوحيد لمنع التنبيه من الظهور مجددًا، ينتقل المستخدم تلقائيًا إلى قائمة الوصول الخاصة بنظام أندرويد، حيث تتم إدارة صلاحيات الوصول في النظام. وتظهر بين مجموعة الخدمات المشروعة خدمة جديدة تسمى “Google Service” التي أنشأتها البرمجية الخبيثة. ومن خلال الضغط على هذه الخدمة يتم عرض وصف مأخوذ عن اتفاقية “شروط استخدام الخدمة” الخاصة بشركة جوجل.

وحينما يقرر المستخدم تفعيل الخدمة، تظهر لديه قائمة من الصلاحيات التي يتعين عليه منحها وتشمل: “راقب نشاطاتك”، و”استعادة نافذة المحتوى”، و”تفعيل الاستكشاف من خلال اللمس”، و”تفعيل الوصول المحسّن إلى الشبكة”، و”تنفيذ الإجراءات”.

وبمجرد الضغط على زر “موافق”، يتم منح صلاحيات الوصول الخاصة بالبرمجية الخبيثة. ومن خلال منح هذه الصلاحيات، فإن المستخدم يمنح البرمجية الخبيثة حرية كاملة في تنفيذ جميع الإجراءات التي تحتاجها لمواصلة أنشطتها الخبيثة.

ومن الناحية العملية وبعد الموافقة على منح الصلاحيات، يتم منع وصول المستخدم لفترة قصيرة إلى شاشة جهازه المحمول ريثما تتم Google service update وتجدر الإشارة هنا أن جوجل لا تتولى إدارة هذه العملية.

وتستخدم البرمجية الخبيثة هذه الواجهة على الشاشة للتغطية على خطواتها التالية، وتفعيل العمليات نيابة عن المستخدم من خلال الاستعانة بأذونات الوصول التي حصلت عليها البرمجية الخبيثة خلال وقت سابق. وبينما ينتظر المستخدم انتهاء تحميل الترقية الوهمية، تقوم البرمجية الخبيثة بتنفيذ عدد من العمليات.

ومن تلك العمليات السماح بتحميل التطبيقات من مصادر مجهولة، وتثبيت برمجية “BankBot” الخبيثة من مصدرها وتفعيلها، وتفعيل “BankBot” كمسؤول إدارة الجهاز، وتعيينه كتطبيق افتراضي للرسائل القصيرة، والحصول على أذونات لتحميل المزيد من التطبيقات الأخرى.

وبعد نجاحها في تنفيذ هذه العمليات، يصبح بإمكان البرمجية الخبيثة البدء بالعمل على تحقيق هدفها التالي والمتمثل بسرقة معلومات بطاقة الائتمان الخاصة بالمستخدم. وبعكس برمجيات “BankBot” الأخرى التي تستهدف مجموعة واسعة من التطبيقات المصرفية المحددة والتي تنتحل أشكالها بهدف الحصول على بيانات الاعتماد الخاصة بالدخول إلى الحسابات المصرفية، ينصب تركيز هذه البرمجية بشكل أساسي على تطبيق جوجل بلاي المثبت على جميع الأجهزة العاملة بنظام تشغيل أندرويد.

وعندما يقوم المستخدم بتشغيل تطبيق جوجل بلاي، تتدخل برمجية “BankBot” لتكتسي بالطابع الشرعي للتطبيق وتستخدم نموذجًا مزيفًا منه لطلب معلومات بطاقة الائتمان الخاصة بالمستخدم.

كيفية إزالة البرمجية الخبيثة عن الأجهزة المصابة؟

يتعين على المستخدمين الذين يقومون بتحميل الكثير من التطبيقات من متجر جوجل بلاي وغيره من المتاجر الأخرى التحقق من عدم وجود هذه البرمجية الخبيثة.

ولا يعد فحص الجهاز للتأكد من عدم وجود لعبة “Jewels Star Classic” إجراءًا كافيًا، إذ غالبًا ما يقوم القراصنة بتغيير التطبيقات التي يستخدمونها لنشر برمجية “BankBot”.

ولمعرفة فيما إذا كان الجهاز مصابًا بهذه البرمجية، توصي Eset بالتحقق من عدد من المؤشرات منها التحقق من وجود تطبيق باسم "Google Update"، ويتم ذلك من خلال اتباع المسار التالي: الضبط> مدير التطبيقات/ التطبيقات > “ترقية جوجل”.

كما توصي الشركة بالتحقق من وجود تطبيق نشط لإدارة الجهاز تحت اسم System update ويتم العثور عليه من خلال المسار : الضبط > الحماية> مسؤولو الأجهزة، بالإضافة إلى الظهور المتكرر لتنبيه “خدمة جوجل”.

وفي حال وجود أي من المؤشرات السابقة، فمن المحتمل أن يكون جهاز المستخدم مصابًا بإحدى أشكال برمجية “BankBot”. ولإزالة البرمجية الخبيثة ، يتعين على المستخدم القيام أولًا بتعطيل حقوق مديري الأجهزة الخاصة بتطبيق “ترقية النظام”، وبعدها إزالة تثبيت كل من “ترقية جوجل” وتطبيقات حصان طروادة المرتبطة به.

وعادة ما يعتبر العثور على تطبيق حصان طروادة التي تسبب بإصابة الجهاز بالبرمجية الخبيثة (وهو في هذه الحالة تطبيق “Jewels Star Classic”) أمرًا معقدًا نظرًا لمهلة الـ 20 دقيقة التي تسبق نشاط البرمجية، إلى جانب عمل التطبيق على نحو اعتيادي لا يثير الشك.