اكتشفت أربع حملات منفصلة من البرامج الضارة، استهداف المستخدمين الروبوت، في Google Play Store في الأيام القليلة الماضية. الخبيثة، اكتشف من قبل شركات أمنية مختلفة، مكافي، التقيم، Dr.Web وايسيت، كانوا متنكرين بزي المشروعة اللعب Google apps وتمكنت من الحصول على الملايين من التنزيلات. هذه ليست المرة الأولى التي تم العثور على البرامج الضارة في اللعب Google، لكن أربع حملات منفصلة من البرامج الضارة في بضعة أيام فقط بل ينذر بالخطر.

Four different malware campaigns found in Google Play Store

تم العثور على في 144 لعب جوجل تطبيقات الخبيثة جرابوس

كتفاصيل مكافي في report، جرابوس الخبيثة اكتشفت في 144 تطبيقات على Google Play Store. أول من اكتشف فريق “أبحاث المحمول” للشركة الخبيثة في مشغل الموسيقى أرسطو الصوت 2017، على تطبيق مجاناً مشغل صوت. ومنذ ذلك الحين، 144 تم العثور على تطبيقات على اللعب Google لاحتواء جرابوس الخبيثة.

مكافي تلاحظ أن أرسطو كان على تقدير جيد والملايين من التنزيلات، وما يكفي للعديد من المستخدمين بالثقة في تطبيق. وبالإضافة إلى ذلك، 34 تطبيقات أن فريق البحث كان قادراً على التحقيق كان أيضا تقديرات جيدة، في المتوسط 4.4، والكثير من الأسبوعية. وبشكل أكثر تحديداً، بين 4.2 و17.4 مليون.

وفقا مكافي، السبب التطبيقات كانت قادرة على تجاوز جوجل تلعب التدابير الأمنية للتعليمات البرمجية للبرامج الضارة محمي مع الإرباك تجارية، مما يجعل من الصعب دراسة تطبيق دون فتحها أولاً عمدا.

ويهدف الخبيثة خداع المستخدمين إلى تحميل وتثبيت تطبيقات من خلال إظهار إعلامات وهمية. ولذلك فإنه يمكن الاطمئنان إلى القول أنها تسعى إلى تحقيق ربح عن طريق تعزيز المنشآت التطبيق.

البرامج الضارة أسياهيتجروب يجعل من الصعب على التعرف عليه

باحث الأمن من التقيم مؤخرا discovered أن البرمجيات الخبيثة قد تم متنكرين في تطبيقات المشروعة في اللعب Google. الخبيثة، اسمه أسياهيتجروب، كان أول من اكتشف في تطبيق ماسح ريال قطري باسم “مولد رمز ريال قطري – الماسح الضوئي ريال قطري” ولكن وجد أيضا في وقت لاحق في تطبيق ومنبه وعلى تطبيق بوصلة، وتطبيق محرر صور، تطبيق اختبار سرعة إنترنت وعلى تطبيق مستكشف ملف.

عند المستخدمين تحميل التطبيق، وسوف يعمل كما يجب في المرة الأولى. ومع ذلك، بعد المستخدم موجوداً، فإنه يختفي. لن تكون قادرة على العثور عليه في أي مكان بالاسم، مما يجعل من الصعب التخلص من المستخدمين. يشير الباحث إلى أن التطبيق ثم يخفي نفسه “مدير تحميل”. إذا كان المستخدمين ليسوا على دراية بما أنهم قد تثبيت تطبيقات، العثور البرامج الضارة يدوياً أساسا مستحيلاً.

وسوف تحقق الخبيثة الموقع الخاص بك أول شيء عند الدخول. إذا كنت موجوداً في آسيا، ومن ثم اسم أسياهيتجروب، أنه سيتم تحميل “طروادة الرسائل القصيرة” التي سوف الاشتراك قسط أرقام الهاتف عن طريق الرسائل القصيرة.

العثور على طروادة في 9 تطبيقات مع الأسبوعية بين 2.37 و11.7 مليون

برامج شركة Dr.Web discovered طروادة في 9 تطبيقات على اللعب Google. أن فتح مواقع ويب دون معرفة المستخدم التهديد، اسمه Android.RemoteCode.106.origin طروادة من قبل الشركة، وتساعد على جعل الإيرادات الإعلانية لأصحاب تلك المواقع. كما يلاحظ التقرير Dr.Web لأنه يمكن استخدام حصان طروادة تنفيذ هجمات الخداع وسرقة المعلومات السرية.

9 تطبيقات التي تم اكتشافها إلى تحتوي على تعليمات برمجية ضارة متنوعة من الألعاب لتطبيقات النسخ الاحتياطي. ووفقا لبرنامج Dr.Web، تم العثور على حصان طروادة في التطبيقات التالية:

  • الخبز الحلو المباراة 3 – مبادلة وتوصيل الكعك 3 3.0؛
  • الكتاب المقدس التوافه، الإصدار 1.8؛
  • التوافه الكتاب المقدس – الحرة، الإصدار 2، 4؛
  • منظف سريع الضوء، الإصدار 1.0؛
  • كسب المال 1.9؛
  • موسيقى لعبة: البيانو، الغيتار، طبل، الإصدار 1.47؛
  • كارتون الراكون المباراة 3-سرقة جوهره لغز 2017، الإصدار 1.0.2؛
  • سهولة النسخ الاحتياطي والاستعادة، الإصدار 4.9.15؛
  • تعلم الغناء، الإصدار 1.2.

Android.RemoteCode.106.origin مرة واحدة للمستخدمين تنزيل التطبيق، سوف تحقق ما إذا كان الجهاز يفي بالمتطلبات. حصان طروادة إذا لم يقم الجهاز المصابة عدد معين من الصور أو جهات الاتصال أو المكالمات الهاتفية، لن تفعل أي شيء. إذا، ومع ذلك، الشروط، سوف طروادة تحميل قائمة الوحدات النمطية، وإطلاق وحدات إضافية ضارة تضخيم إحصائيات المرور في الموقع وتتبع الروابط الإعلانية.

منذ إصدار Dr.Web التقرير، تمت إزالة التعليمات البرمجية الضارة من بعض التطبيقات، بينما البعض الآخر لا تزال الخبيثة.

ESET يكتشف الخبيثة متعددة المراحل

تم اكتشاف شكل جديد من البرمجيات الخبيثة متعدد المراحل في 8 تطبيقات على جوجل اللعب بأمن شركة ESET. الخبيثة، الكشف عن وصفه Android/TrojanDropper.Agent.BKY بواسطة ايسيت، أساسا الخدمات مصرفية طروادة.

تم اكتشاف التطبيقات بسرعة كبيرة، وبالتالي كانت فقط قادراً على الحصول على بضع مئات من التنزيلات. وكان متنكرين الخبيثة تطبيقات الروبوت في التنظيف أو أخبار. وقد أزيلت أنهم منذ ذلك الحين من Google Play Store.

مرة واحدة للمستخدمين تحميل التطبيقات، أنهم سوف لا تلاحظ أي شيء غريب التطبيقات تتصرف كما يتوقع من المستخدمين، ولا يطلبون أي أذونات غريبة. كما تستخدم البرمجيات الخبيثة العمارة متعددة المراحل والتشفير تبقى غير مكتشفة.

عند تنزيله، فإنه سيتم تنفيذ حمولة المرحلة الأولى، التي سيتم إطلاق حمولة المرحلة الثانية. الحمولة المرحلة الثانية ثم تحميل تطبيق، والحمولة المرحلة الثالثة. وهذا يحدث في الخلفية، وبالتالي المستخدمين ليست على علم.

كما يشرح ايسيت، يطلب من المستخدمين ثم تثبيت التطبيق الذي تم تنزيله، الذي يمكن أن يكون مقنعا كنوع من البرامج التي تبدو مشروعة. ثم سيطلب التطبيق الخبيثة للمستخدمين لمنح أذونات مختلفة، وإذا كان المستخدم، التطبيق ستعدم الحمولة النهائي، الذي أساسا الخدمات مصرفية طروادة.

حصان طروادة المصرفية ثم تظهر لك شاشات تسجيل الدخول وهمية للحصول على بيانات الاعتماد أو تفاصيل بطاقة الائتمان الخاصة بك.

أضف تعليق