حصان طروادة جديد يسجل المستعملين في خدمات غير مجانية وغير مرغوب فيها
اكتشف باحثوا كاسبرسكي عائلة جديدة من أحصنة طروادة تستهدف مستعملي غوغل بلاي. يتنقل حصان طروادة للاكتتاب، المدعو Fleckpe، عبر برمجيات معالجة الصور أو خلفيات الشاشة، مسجلا المستعملين غير الحذرين في خدمات غير مجانية. وأصاب Fleckpe أزيد من 620.000 جهاز منذ رصده في 2022، موقعا ضحايا عبر ربوع العالم.
من وقت لآخر، يتم تحميل تطبيقات خبيثة، يمكن أن تبدو للولهة الأولى حميدة، على متجر غوغل بلاي. ضمنها، توجد أحصنة طروادة التي تسمى “لِلْاكتتاب”، والتي تعد من بين البرمجيات الخبيثة التي تصعب معالجتها. فهي تمر دون أن تثير الانتباه إلى غاية أن يكتشف أحد الضحايا أنه تعرض لفوترة خدمات لم يسبق له أبدا أن رغب في اقتنائها. غالبا ما يتمكن هذا النوع من البرمجيات الخبيثة من شق طريقه داخل المتجر الرسمي لتطبيقات أندرويد دون إثارة الانتباه. من بين آخر نماذج هذا البرنامج عائلة جوكر وعائلة هارلي التي تعتبر الأحدث عهدا.
تعد العائلة الجديد، « Fleckpe »، آخر اكتشاف لكاسبرسكي وتتنقل عبر متجر غوغل بلاي تحت غطاء برامج معالجة الصور وحزم خلفيات الشاشة أو برمجيات أخرى من هذا النوع. في حقيقية الأمر، تقوم هذه البرمجيات باكتتاب المستعمل في خدمات مؤدى عنها من دون موافقته.
يُستفاد من المعطيات التي يتوفر عليها كاسبرسكي أن حصان طروادة نشط منذ 2022. وعثر باحثو الشركة على 11 تطبيقا على الأقل موبوءة بـ Fleckpe، الذي تم تثبيته على 620.000 جهاز. وعلى الرغم من أن التطبيقات الموبوءة قد تم سحبها من متجر التطبيقات مع نشر تقرير كاسبرسكي، فمن المحتمل استمرار مجرمي الويب في نشر هذا البرنامج الخبيث عبر تطبيقات أخرى. الشيء الذي يعني أن العدد الحقيقي للمرات التي تم فيها تثبيت البرنامج يحتمل أن يكون أعلى بكثير.
يقوم التطبيق المصاب بـ Fleckpe بإطلاق مكتبة أصلية مشوشة بشكل كبير والتي تحتوي على آلية خبيثة تقوم بقراءة شيفرة الحمولة الفعلية لمكونات البرنامج الخبيث من خلال موارد التطبيق وتنفيذها. تقوم هذه الحمولة بربط الاتصال مع خادوم طلبيات مراقب من طرف المهاجم، وإرسال المعطيات المتعلقة بالجهاز الموبوء وصاحبه – بما في ذلك بلد إقامته.
على إثر ذلك يتم توفير صفحة لتلقي الاشتراكات. فيقوم حصان طروادة بشكل سري بإطلاق متصفح ويب محاولا اكتتاب الاشتراك – على حساب المستعمل – في الخدمة غير المجانية. إذا كان الاكتتاب يتطلب رمز تأكيد، فإن البرنامج الخبيث يلج إلى إشعارات الجهاز قصد الحصول عليه.
بذلك فإن البرنامج الخبيث يجعل مستخدم الجهاز الموبوء مشتركا في خدمات غير مجانية بدون علمه وموافقته، فيفقد الضحية نتيجة لذلك ماله. الغريب في الأمر أن خصائص التطبيق الحامل لا تتأثر، ويواصل الضحية تحرير صوره أو تحديد خلفيات شاشة جهازه دون أن يفطن إلى أنه قد تعرض لتسديد خدمة لا حاجة له بها.
تبين أجهزة قياس كاسبرسكي أن البرنامج الخبيث يستهدف بشكل أساسي مستعملين من تايلاند، وذلك رغم تسجيل إصابات في بولندا وماليزيا وأندونيسيا وسنغافورة.
« للأسف، ارتفعت شهرة وشعبية أحصنة طروادة للاكتتاب لدى النصابين في الآونة الأخيرة. ويتجه المجرمون السبرانيون الذين يستعملونها بشكل متزايد نحو المنصات التجارية الرسمية للتطبيقات مثل غوغل بلاي بهدف توزيع برمجياتهم الخبيثة. وتمكنت أحصنة طروادة بفضل تعقيدها المتزايد من تجاوز العديد من آليات مراقبة البرامج الخبيثة المعتمدة من قبل المنصات التجارية، وبالتالي، من المرور دون إثارة الانتباه لمدة طويلة بشكل كاف. أما المستعملين المصابين، فإنهم على العموم لا يكتشفون الاكتتابات غير المرغوب فيها على الفور، وبشكل أقل الطريقة التي اتخذتها. كل ذلك يجعل من أحصنة طروادة للاكتتاب مصدرا موثوقا لجني المال بشكل غير قانوني في أعين مجرمي الويب »، يقول دمتري كالينين، الباحث في مجال الأمن لدى كاسبرسكي.
للمزيد من المعلومات حول البرنامج الخبيث Fleckpe نضرب لكم موعدا في Securelist.
لتفادي الإصابة بالبرنامج الخبيث للاكتتاب، ينصحكم خبراء كاسبرسكي باتباع التدابي التالية :
· التزام الحذر بشكل دائم في التعاطي للتطبيقات، حتى لو كان مصدرها هو المنصات التجارية الرسمية مثل غوغل بلاي ستور ومراقبة الترخيصات الممنوحة للتطبيقات التي يتم تثبيتها – يمكن لبعضها أن تتسبب في مخاطر أمنية.
· تثبيت حل مضاد الفيروسات قادر على التعرف على هذا النوع من أحصنة طروادة ورصدها على هواتفكم، مثل كاسبرسكي بريميوم.
· الحرص على عدم تثبيت التطبيقات الآتية من مصادر أخرى، ولا البرمجيات المقرصنة. فالمهاجمون يدركون جاذبية كل ما هو مجاني بالنسبة للمستعملين، والذي يمكنهم استغلاله عن طريق إخفاء البرمجيات الخبيثة في برمجيات الغش وفك الشيفرات ووحدات التعديل (mods).
· في حال رصد برنامج خبيث للاكتتاب على هاتفكم، قوموا حالا بإزالة البرنامج الموبوء من الهاتف، أو توقيف تفعيله إذا كان مثبتا بشكل مسبق.