كشفت شركة كاسبرسكي المتخصصة في مكافحة الفيروسات وأمن المعلومات عن تطبيقات مشبوهة موجودة بمتجر جوجل بلاى تراقب المستخدمين وتتبع نشاطهم .
كاسبرسكي والتطبيقات المشبوهة بمتجر جوجل بلاى:
في يوليو 2019 ، أبلغ دكتور ويب وهو أحد متخصصى أمن المعلومات بشركة كاسبرسكي عن وجود حصان طروادة مستتر في Google Play.
والذي بدا معقدًا وعلى عكس البرامج الضارة الشائعة التي يتم تحميلها غالبًا لسرقة أموال الضحايا أو عرض الإعلانات.
تقول “كاسبرسكي” إنها أجرت استقصاءًا خاصًا، واكتشفت حملة تطبيقات مشبوهة طويلة الأمد ، أطلقت عليها إسم “PhantomLance.
PhantomLance وعلاقته بمتجر جوجل :
PhantomLance هو حملة تطبيقات مشبوهة أقرب نطاق لها تم تسجيله في ديسمبر 2015 أي من حوالي 5 سنوات.
أضافت الشركة أنها وجدت عشرات العينات ذات الصلة التي ظهرت عام 2016 و تم نشرها في أسواق التطبيقات.
بما في ذلك Google Play إذ تم نشر واحدة من أحدث العينات في سوق Android الرسمي في 6 نوفمبر 2019.
وأبلغت الشركة Google بالبرامج الضارة ، وتمت إزالتها من السوق بعد فترة وجيزة في ذلك الوقت .
برنامج “منظف المتصفح” أحدث مثال لبرامج التجسس في المنصة :
أثناء التحقيق ، اكتشفت كاسبرسكي تداخلات مختلفة مع برامج OceanLotus APT التي تم الإبلاغ عنها والموجودة على جوجل .
وأنها وجدت العديد من أوجه التشابه بين الرموز الموجودة في هذه البرامج وغيرها من برامج التجسس المكتشفة سابقاً .
وكذلك تداخل البنية التحتية مع أنظمة Windows الخلفية وبعض التشابهات عبر الأنظمة الأساسية التى يسهل معها خداع المستخدمين .
وكشفت كاسبرسكي عن أحدث نموذج تم نشره في عام 2020 ، والذي يستخدم Firebase لاختراق تشفير الأجهزة عبر SCANNER AND CLEANER.
إصدارات البرامج الضارة على جوجل بلاى :
لأغراض البحث ، قمنا بتقسيم العينات التي وجدناها في سلسلة “إصدارات” استنادًا إلى التعقيد التقني:
من الإصدار الأساسي 1 إلى الإصدار 3 المعقد للغاية.
تقول الشركة أنها لاحظت أن هذه التطبيقات الخبيثة لا تتوافق تمامًا مع الترتيب الزمني لمظهرها الذي يحمل صيغة ITW .
على سبيل المثال ، لاحظنا عينات من الإصدارات المكتشفة للفيروسات على المتجر في الاصدار 1 في أواخر عام 2019 .
والذي تطور سريعاً إلى الإصدار 3 المعقد للغاية والذي يصعب التعامل معه أو اكتشافه .
وظائف جميع العينات متشابهة :
الغرض الرئيسي من برامج التجسس المكتشفة هو جمع معلومات حساسة عن المستخدمين ومراقبة نشاطهم على الإنترنت .
وتضمنت أيضاً تحديد الموقع الجغرافي ، وسجلات المكالمات ، والوصول إلى جهات الاتصال والوصول إلى الرسائل القصيرة.
يمكن للتطبيق أيضًا جمع قائمة بالتطبيقات المثبتة ، بالإضافة إلى معلومات الجهاز ، مثل الطراز وإصدار نظام التشغيل.
علاوة على ذلك ، كانت التطبيقت الخبيثة قادرة على تنزيل برمج أخرى ضارة مختلفة على جهاز الضحية لاستنزاف بياناته .
وتستطيع هذه البرامج أن تختفى في جهاز الضحية والعمل دون أن يشعر المستخدم بوجودها أو نشاطها .
تقول الشركة أنه لم يتم ذكر أذونات مشبوهة في ملف بيانات هذه التطبيقات مما يعني أحترافية مصمميها .
وأنه يتم طلبها بشكل ديناميكي ومخفي داخل ملف dex القابل للتنفيذ بعيداً عن أعين متجر جوجل .