مؤلفو البرامج الضارة ومطورو الأمن السيبراني محاصرون في حرب مستمرة حيث يتم تقديم آليات جديدة لتصحيح أنواع جديدة من مشكلات الأمان ، ويجد مؤلفو البرامج الضارة ثغرات جديدة للتغلب عليها. بينما قدم Android 13 مجموعة من القيود ، مما ساعد نظام التشغيل على اكتساب ميزة ، كانت الميزة على ما يبدو قصيرة الأجل ووجد مجرمو الإنترنت طرقًا جديدة للتسلل إلى تطبيقات البرامج الضارة في متجر Google Play. اكتشفت شركة أمن الأجهزة المحمولة Threat Fabric موجة جديدة من تطبيقات “القطارة” في المتجر الرسمي والتي تستخدم تحديثات زائفة لتثبيت أحصنة طروادة المصرفية على أجهزة المستخدمين.
ما هي القطارات؟
القطارة هي نوع من أحصنة طروادة تم تصميمها لتثبيت نوع من البرامج الضارة على جهاز مستهدف. يصعب اكتشاف البرامج الضارة الموجودة داخل القطارة لأنها مخفية بطريقة تتجنب اكتشافها بواسطة برامج مكافحة الفيروسات. لا يحتوي القطارة على أي برامج ضارة وقت التثبيت ويمكن تنزيلها بمجرد تنشيطها فقط.
قطارات Sharkbot
تعد قطرات Sharkbot نوعًا سيئًا من البرامج الضارة المصممة لسرقة بيانات اعتماد تسجيل دخول المستخدم ، خاصة تلك المستخدمة لتسجيل الدخول إلى التطبيقات المصرفية. هذا النوع قادر حتى على تجاوز المصادقة الثنائية للرسائل القصيرة (2FA) من خلال قراءة رسائل SMS لسرقة رموز المصادقة.
رصدت شركة Threatfabric حملة جديدة من Trojan Sharkbot المصرفية تستهدف مستخدمي الخدمات المصرفية الإيطالية. رصدت شركة الأمن مؤخرًا أحد التطبيقات التي تحتوي على هذا البرنامج الضار المعين المسمى Codice Fiscale. حصل التطبيق على أكثر من 10000 عملية تثبيت وتم إخفاءه في صورة آلة حاسبة لرمز الضريبة. لقد كانت شائنة بشكل خاص لأن مؤلفيها بذلوا قصارى جهدهم لإخفاء النوايا الخبيثة للقطارة. لم يقم Codice Fiscale بتثبيت برامج ضارة على الجهاز من تلقاء نفسه. بدلاً من ذلك ، استعان بمصادر خارجية لهذا الجزء إلى المتصفح عن طريق فتح صفحة متجر Play Store وهمية تطلب تحديث التطبيق. يؤدي النقر فوق زر التحديث إلى تثبيت ملف APK للبرامج الضارة ، مما يمنح المؤلفين ما يريدونه.
نسر القطارات
Vultur هي عائلة برامج ضارة أخرى تم اكتشافها في يوليو 2021 بواسطة ThreatFabric. لقد كانت نشطة للغاية في العام الماضي وتتخصص في سرقة معلومات التعريف الشخصية (PII) من الأجهزة المصابة عن طريق تسجيل / تسجيل بعض التطبيقات. ثم يتم استخدام أرقام التعريف الشخصية وكلمات المرور المسروقة من قبل المتسللين لتنفيذ إجراءات على جهاز الضحية ، مما يؤدي بشكل فعال إلى ODF. يرمز ODF إلى الاحتيال على الجهاز ، وهو نوع من الاحتيال حيث يتم بدء المعاملات من جهاز الضحية.
اكتشف ThreatFabric 3 قطارات جديدة على متجر Play Store تستخدم هذه البرامج الضارة مع آلاف التثبيتات. تظهر هذه التطبيقات كتطبيقات مثل مصادقات الأمان أو أدوات استرداد الملفات. تقوم مثل هذه التطبيقات بتثبيت البرامج الضارة بطريقة مشابهة جدًا لـ Sharkbots ، حيث إنها تطالب المستخدم بتثبيت البرامج الضارة بحجة تحديث التطبيق.
أحد أنجح موزعي البرمجيات الخبيثة Vultur هم طاقم “Brunhilda Project” ، الذين وصلت حملتهم في الأشهر القليلة الماضية إلى أكثر من 100،000 ضحية احتيال محتملة.
ما الذي يمكن فعله لتجنب ذلك؟
يخلص ThreatFabric إلى أنه على الرغم من التغييرات المستمرة في متجر Play على السياسة والأمان ، فإن البرامج الضارة مثل تلك المذكورة أعلاه “موجودة لتبقى”. يظل متجر Google Play هو الطريقة الأكثر تكلفة وقابلة للتطوير للوصول إلى الضحايا لأن التكتيكات الأخرى مثل تسليم الهجمات الموجهة عبر الهاتف تتطلب الكثير من الموارد.
في مثل هذه الحالة ، يُنصح بتوخي الحذر عند تنزيل التطبيقات التي لا تحظى بشعبية وعدم تثبيت أي “تحديثات” قد يطلبها التطبيق عبر المتصفح. يقوم نظام Android بتحديث التطبيقات من خلال تطبيق Google Play Store المثبت مسبقًا ، وإذا طلب منك أي تطبيق تابع لجهة خارجية التحديث من خلال متصفح ، فمن الأفضل إلغاء تثبيته.
قائمة بتطبيقات Sharkbot / Vultur الضارة الشهيرة التي تريد إزالتها إذا كانت مثبتة
بالطبع ، تم بالفعل سحب التطبيقات التالية من متجر Play ، ولكن إذا كنت لا تزال مثبتة لديك ، فأنت تريد حذفها على الفور.
- كوديس فيسكال 2022
- مدير الملفات صغير ، لايت
- بلدي المالية المقتفي
- استعادة الملفات
- تطبيق Zetter Authenticator
