دون علم المستخدم.. تطبيق خبيث يستغل خدمات جوجل للتحكم بالهاتف

اكتشف باحثون شركة كاسبرسكي "Kaspersky"، عن تطبيق تروجان Trojan، يزعج مستخدمي الهواتف الذكية حيث يقم بنشر إعلانات غير مرغوب فيها، إلى جانب تثبيت تطبيقات تسوق عبر الإنترنت ضارة من خلال خدمة Google Accessibility، ليخدع المستخدمين والمعلنين معًا، ويزور هذا التطبيق الخبيث متاجر تطبيقات الهواتف الذكية ويعمل على تنزيل تطبيقات مختلفة وتشغيلها، كما يترك تقييمات وهمية بالنيابة عن المستخدم دون علمه.
وبحسب ما ذكرته وكالة "aninews"، لفت التطبيق المسمى Shopper، انتباه الباحثين أولًا بعد تعتيم شديد على استخدامه خدمة Google Accessibility الخاصة بتحديد قدرات وصول المستخدمين ذوي الإعاقة إلى عدد من موارد الجهاز، وتتيح الخدمة للمستخدمين ضبط الصوت لقراءة محتوى التطبيق والتفاعل مع واجهة الاستخدام، ومع ذلك، فإن وصول المخربين إلى هذه الميزة يمنحهم أداة تهديد خطرة لمالك الجهاز.
وبمجرد حصول التطبيق التخريبي على إذن استخدام الخدمة، يحظى بفرص غير محدودة تقريبا للتفاعل مع واجهة النظام والتطبيقات، إذ يصبح بإمكانه التقاط البيانات الموجودة على الشاشة، والضغط على الأزرار، وحتى محاكاة إيماءات المستخدم الجسدية.
ولم يعرف الباحثون بعد كيف ينتشر هذا التطبيق، لكن يفترضون أنه يمكن تنزيله من قبل مالكي الأجهزة من خلال إعلانات مخادعة أو متاجر تطبيقات تابعة لجهات أخرى أثناء سعيهم للحصول على تطبيق رسمي سليم.
ويخفي التطبيق الخبيث نفسه على هيئة أحد تطبيقات نظام التشغيل ويستخدم أيقونة اسمها ConfigAPKs لإخفاء نفسه عن المستخدم، ويتم تشغيله بعد إلغاء قفل الشاشة ليبدأ في جمع معلومات حول الجهاز ويرسلها إلى خوادم الجهة التخريبية التي تقف وراءه، ويعيد الخادم أوامر التطبيق للتنفيذ، والتي يمكن له بناءً عليها أن يقوم بالتالي:
- استخدام حساب جوجل أو فيسبوك الخاص بصاحب الجهاز للتسجيل في تطبيقات التسوق والترفيه الشهيرة، مثل AliExpress وLazada وZalora وShein وJoom وLikee وAlibaba.
- وضع تقييمات للتطبيقات الموجودة في متجر جوجل بلاي نيابة عن صاحب الجهاز.
- التحقق من الامتيازات الخاصة باستخدام خدمة Accessibility Service، فإذا لم يجد امتياز وصول واستخدام، يحاول الحصول عليه عبر التصيد.
- إيقاف تشغيل ميزة Google Play Protect، والتي تجري فحصا لأمن التطبيقات في Google Play قبل تنزيلها.
- فتح الروابط المستلمة من الخادم في نافذة غير مرئية وإخفاء نفسه من قائمة التطبيقات بعد إلغاء قفل عدد من الشاشات.
- عرض الإعلانات عند إلغاء قفل شاشة الجهاز وإنشاء تسميات في قائمة التطبيقات للإعلانات المعروضة.
- تنزيل التطبيقات من سوق Apkpure وتثبيتها.
- فتح التطبيقات المعلن عنها في جوجل بلاي وتنزيلها.
- وضع تسميات الصفحات المعلن عنها بدل تسميات التطبيقات المثبتة.
وفي الفترة من أكتوبر إلى نوفمبر 2019، حلت روسيا في المرتبة الأولى بين البلدان المصابة بعدوى التروجان المسمى Trojan-Dropper.AndroidOS.Shopper، وذلك بنسبة عالية قدرها 28.46% من جميع المستخدمين المتأثرين بهذا التروجان حول العالم، تليها البرازيل بنسبة 18.70%، والهند بنسبة 14.23%.
ويقول إيغور غولوفين "Igor Golovin"، أحد باحثي البرمجيات الخبيثة لدى كاسبرسكي: "لا أحد يمكنه أن يضمن أن منشئي هذه البرمجية الخبيثة لن يغيروا مقصدهم إلى شيء آخر أكثر ضررا، بعد أن اقتصر عملهم لغاية الآن على الإعلانات غير المرغوب فيها والتقييمات والتصنيفات المزيفة التي تصدر باسم الضحية وتوضع على متجر التطبيقات"، وأضاف قائلا: "ينصب تركيز هذا التطبيق الخبيث في الوقت الراهن على متاجر التسوق الاستهلاكية، لكن قدراته تمكن المخربين من نشر معلومات على حسابات المستخدمين على الشبكات الاجتماعية وغيرها من المنصات دون إذن من المستخدم، مثل مقاطع فيديو أو صور أو غيرها".
وينصح المستخدمون باتباع التوصيات التالية للحد من خطر الإصابة بتهديدات البرمجيات الخبيثة التي تستغل خدمة Google Accessibility مثل هذه:
- الحذر من التطبيقات التي تطلب استخدام خدمة Accessibility Service، إذا لم يكن الغرض من التطبيق هو استخدامها مع هذه الوظيفة.
- تجنب تثبيت التطبيقات من مصادر غير موثوق بها، حتى إذا كانت رائجة إعلانيًا، وحظر تثبيت البرمجيات من مصادر غير معروفة في إعدادات الهاتف الذكي.
- التحقق من الأذونات الممنوحة للتطبيقات لمعرفة ما يسمح للتطبيق المثبت تنفيذه.
- استخدام حل أمني موثوق به للهاتف الذكي، مثل Kaspersky Internet Security for Android، يمكن أن يساعد في تحديد طلبات التطبيقات التي يحتمل أن تنطوي على خطر أو قد يكون مشكوكا في سلامة مقصدها، مع شرح المخاطر المرتبطة بأنواع مختلفة من الأذونات الشائعة.