وفقًا لباحثين أمنيين، يتم استهداف بعض تطبيقات Google Play والتعديلات غير الرسمية للتطبيقات الشائعة من قبل المهاجمين لنشر برامج ضارة خطيرة. يمكن لفيروس Necro المزعوم تسجيل ضغطات المفاتيح وسرقة المعلومات الحساسة وتثبيت برامج ضارة إضافية وتنفيذ الأوامر عن بُعد. تم رصد تطبيقين في متجر تطبيقات Google Play مصابين بهذا الفيروس الخبيث. علاوة على ذلك، تم اكتشاف حزم تطبيقات Android المعدلة (APKs) لتطبيقات مثل Spotify وWhatsApp وألعاب مثل Minecraft التي توزع فيروس حصان طروادة.
تطبيقات Google Play وملفات APK المعدلة تُستخدم لنشر فيروس Necro Trojan
تم رصد أول حصان طروادة من عائلة Necro في عام 2019 عندما أصاب البرنامج الخبيث تطبيق CamScanner الشهير لإنشاء ملفات PDF. وقد نشر الإصدار الرسمي من التطبيق على Google Play، والذي تم تنزيله أكثر من 100 مليون مرة، خطرًا على المستخدمين، لكن تصحيحًا أمنيًا أصلح المشكلة في ذلك الوقت.
وفقا ل بريد اكتشف باحثو كاسبرسكي إصدارًا جديدًا من حصان طروادة Necro في تطبيقين من Google Play. الأول هو تطبيق Wuta Camera الذي تم تنزيله أكثر من 10 ملايين مرة، والثاني هو Max Browser الذي تم تنزيله أكثر من مليون مرة. وأكد الباحثون أن Google أزالت التطبيقات المصابة بعد أن تواصلت كاسبرسكي مع الشركة.
تنبع المشكلة الرئيسية من عدد كبير من الإصدارات “المعدلة” غير الرسمية للتطبيقات الشائعة، والتي توجد مستضافة على عدد كبير من مواقع الطرف الثالث. يمكن للمستخدمين تنزيلها وتثبيتها عن طريق الخطأ على أجهزة Android الخاصة بهم، مما يؤدي إلى إصابتها في هذه العملية. تتضمن بعض ملفات APK التي تحتوي على البرامج الضارة التي اكتشفها الباحثون إصدارات معدلة من Spotify وWhatsApp وMinecraft وStumble Guys وCar Parking Multiplayer وMelon Sandbox – تعد هذه الإصدارات المعدلة المستخدمين بالوصول إلى ميزات تتطلب عادةً اشتراكًا مدفوعًا.
ومن المثير للاهتمام أن المهاجمين يستخدمون مجموعة من الأساليب لاستهداف المستخدمين. على سبيل المثال، احتوى تعديل Spotify على مجموعة أدوات تطوير برمجيات تعرض وحدات إعلانية متعددة، وفقًا للباحثين. وكان يتم استخدام خادم الأوامر والتحكم (C&C) لنشر حمولة حصان طروادة إذا لمس المستخدم عن طريق الخطأ الوحدة القائمة على الصور.
وبالمثل، في تعديل WhatsApp، وجد أن المهاجمين قد استبدلوا خدمة Firebase Remote Config السحابية من Google لاستخدامها كخادم C&C. في النهاية، سيؤدي التفاعل مع الوحدة النمطية إلى نشر وتنفيذ نفس الحمولة.
وبمجرد نشرها، يمكن للبرامج الضارة “تنزيل ملفات قابلة للتنفيذ، وتثبيت تطبيقات تابعة لجهات خارجية، وفتح روابط عشوائية في نوافذ WebView غير المرئية لتنفيذ تعليمات برمجية JavaScript”، كما سلطت شركة Kaspersky الضوء على ذلك. علاوة على ذلك، يمكنها أيضًا الاشتراك في خدمات مدفوعة باهظة الثمن دون علم المستخدم.
في حين تم بالفعل إزالة التطبيقات من متجر Google Play، يُنصح المستخدمون بتوخي الحذر عند تنزيل تطبيقات Android من مصادر خارجية. وفي حالة عدم ثقتهم في المتجر، فيجب عليهم الامتناع عن تنزيل أو تثبيت أي تطبيق أو ملفات.
