21 تطبيقًا تعرضك للاختراق إذا وجدت على هاتفك.. احذفهم فورًا

أعلنت شركة (إسيت) ESET للأمن الإلكتروني اكتشافها ما يقرب من 42 تطبيقًا في متجر “جوجل بلاي” Google Play، تحتوي على إعلانات خبيثة، وكانت هذه التطبيقات تتبع حملة بدأت منذ شهر يوليو 2018، حيث وصل عدد مرات تنزيلها إلى أكثر من 8 ملايين مرة.

وكان من بين هذه التطبيقات 21 تطبيقًا متاحًا على متجر جوجل بلاي وقت الاكتشاف، حيث أبلغ باحثو الشركة فريق أمان جوجل بالتطبيقات وتمت إزالتها بسرعة. إلا أنه لا تزال هذه التطبيقات متوفرة في متاجر تطبيقات الجهات الخارجية.

وقال الباحثون إن هذه التطبيقات توفر الوظائف التي تعد بها، ولكنها تحتوي على برمجية إعلانية خبيثة تُدعى Ashas؛ فبمجرد تثبيت التطبيق على هاتفك وتشغيله، يبدأ التطبيق في التواصل مع خادم خارجي، ويقوم بإرسال البيانات الرئيسية لهاتفك والتي تشمل: نوع الجهاز، وإصدار نظام التشغيل، واللغة، وعدد التطبيقات المثبتة، والمساحة التخزينية الخالية، وحالة البطارية، وهل كُسرت حماية الجهاز عبر عملية الروت Root، وهل وضع المطور مُفعل عليه، وما إذا كانت تطبيقات فيسبوك، ومسنجر مثبتة عليه.

ثم يتلقى التطبيق بعد ذلك بيانات الإعداد اللازمة لعرض الإعلانات والتخفي والتسلل للجهاز بسهولة، وذلك من الخادم الخارجي الذي يحمل اسم (C&C).

ويقوم المهاجم بعمل الحيل الآتية للخداع:

تحديد كون التطبيق يُختبر بواسطة آلية أمان جوجل بلاي، ولهذا الغرض يتلقى التطبيق من الخادم علامة (isGoogleIp)، والتي تشير إلى أن عنوان IP الخاص بالجهاز المتأثر يقع ضمن نطاق عناوين IP المعروفة لخوادم جوجل.

يمكن للتطبيق تعيين تأخير زمني مخصص بين عرض الإعلانات، حيث يتأخر عرض الإعلان الأول لمدة 24 دقيقة بعد تثبيت التطبيق على الجهاز مما يعني أن إجراء الاختبار النموذجي والذي يستغرق أقل من 10 دقائق لن يكتشف أي سلوك غير مرغوب فيه.

استنادًا إلى استجابة الخادم يمكن للتطبيق أيضًا إخفاء الرمز الخاص به وإنشاء اختصار بدلاً من ذلك. إذا حاول مستخدم التخلص من التطبيق الضار، فمن المحتمل أن تتم إزالة الاختصار فقط، ويستمر التطبيق بعد ذلك في الخلفية دون معرفة المستخدم.

تعرض هذه التطبيقات إعلانات ملء الشاشة على جهاز المستخدم على فترات شبه عشوائية، وإذا أراد المستخدم التحقق من التطبيق المسؤول عن الإعلانات عن طريق الضغط على زر “التطبيقات الحديثة”، يستخدم التطبيق خدعة أخرى حيث يعرض أيقونة فيسبوك أو جوجل لتجنب الشك فيه، وبالتالي يظل على الجهاز المتأثر لأطول فترة ممكنة.

وجائت قائمة التطبيقات المتأثرة وفق ما أعلنت شركة “إسيت” على النحو التالي:

• Video Downloader Master
• Ringtone Maker Pro
• SaveInsta
• Tank Classic
• Ringtone Maker 2.0
• Insta downloader
• Free Social Videos downloader
• World champion 2018
• Smart Notes
• Smart Gallery
• MP4 Video Downloader
• Water Drink Remind
• Basketball Perfect Shot
• Free Radio FM online
• Mini Lite for facebook
• Solucionario de baldor
• Heroes Jump
• Hiketop +
• DU Recorder
• Free Top Video Downloader
• Flat Music Player

وتتبع الباحثون المطور الذي يقف وراء هذه الحملة الإعلانية الخبيثة استنادًا إلى المعلومات المرتبطة بنطاق الخادم، حيث تمكنوا من تحديد اسم المسجل، إلى جانب مزيد من البيانات مثل: البلد وعنوان البريد الإلكتروني، واتضح أنه طالب فيتنامي.

كما اكتشفوا أن هذا المطور لديه تطبيقات أيضًا في متجر تطبيقات آبل App Store، بعضها إصدارات iOS للتطبيقات التي كانت موجودة على جوجل بلاي، ولكن لا يحتوي أي منها على وظائف الإعلانات الخبيثة، وهي كالتالي:

• Block Puzzle 1010
• Extreme Motorbike Race
• Basketball Shooter
• Jewels plus
• Head Score Star League
• King Of Number 2048
• Impossible Tank Battle