الرئيسية / أخبار تقنية / اكتشاف تطبيقات أندرويد خبيثه تم تنزيلها 150 مليون مرة من متجر Google Play

اكتشاف تطبيقات أندرويد خبيثه تم تنزيلها 150 مليون مرة من متجر Google Play

اكتشف باحثون في مجال الأمن نوعًا جديدًا من البرامج الدعائية على الأجهزة المحمولة مخبأة في مئات تطبيقات أندرويد وقاموا بتنزيلها أكثر من 150 مليون مرة من متجر جوجل بلاي “Google Play”

تنتمي معظم تطبيقات Infected Malicious إلى فئة ألعاب المحاكاة وتقوم هذه التطبيقات بإنشاء إعلانات مزعجة للغاية وعرضها خارج التطبيق مما يتيح للمستخدمين صعوبة في إلغاء التثبيت بمجرد تثبيته.

لعبت حزمة SDK الضارة (مجموعة تطوير البرامج) “RXDrioder” دورًا رئيسيًا في هذه الحملة والتي استخدمها المهاجمين لعرض عدد أكبر من الإعلانات من أجل تحقيق المزيد من الأرباح.

ولم تكن حملة الإعلانات الدعائية المدعومة من SimBad تستهدف أي بلد بشكل خاص ويتم توفير SDK هذه بواسطة ‘addroider [.] com’ الذي خدع المطورين لاستخدامه لتطوير التطبيقات.

ووفقًا لبحوث نقطة التفتيش فإن التطبيق يؤدي مختلف السلوكيات الخبيثة بما في ذلك عرض الإعلانات خارج التطبيق على سبيل المثال؛

• عرض الإعلانات خارج التطبيق على سبيل المثال عندما يفتح المستخدمين هواتفهم أو يستخدمون تطبيقات أخرى.

• فتح متجر Google Play باستمرار وإعادة التوجيه إلى تطبيق آخر معين بحيث يمكن للمطور الاستفادة من عمليات تثبيت إضافية.

• إخفاء أيقونه من المشغل من أجل منع إلغاء التثبيت.

• فتح متصفح ويب مع الروابط التي يقدمها مطور التطبيق.

• القيام بتنزيل ملفات بصيغة APK وطلب من المستخدم تثبيتها.

• البحث عن كلمة مقدمة بواسطة التطبيق في Google Play.

وبمجرد تثبيت تطبيقات Adware على هاتف الضحايا يسجل SimBad نفسه للتأكد من أن التطبيق المثبت يظل يعمل على الهاتف المحمول للضحايا كلما قاموا بتمهيد الهاتف أو إلغاء قفله.

اتصل SimBad فيما بعد بخادم C&C من أجل تلقي الأوامر من المهاجمين لإجراء عملية ضارة مختلفة مثل إزالة الرمز مما يجعل المستخدم أكثر صعوبة في إلغاء التثبيت ودفع إعلانات الجولة إلى الوراء.

كما يتمتع “SimBad” بقدرات يمكن تقسيمها إلى ثلاث مجموعات عرض الإعلانات والخداع والتعرض للتطبيقات الأخرى من خلال القدرة على فتح عنوان URL محدد في المتصفح ويمكن للممثل الذي يقف خلف “SimBad” إنشاء صفحات تصيّد لأنظمة تشغيل متعددة وفتحها في متصفح وبالتالي تنفيذ هجمات التصيد العشوائية على المستخدم “.

خادم C2 الذي تمت مراقبته هو “addroider [.] com” يُستخدم للبنية الأساسية لـ Parse Backend وهو نموذج يوفر لمطوري تطبيقات الويب والتطبيقات المحمولة طريقة لربط تطبيقاتهم لدعم التخزين السحابي وواجهات برمجة التطبيقات التي تتعرض لها التطبيقات الخلفية.

تم تسجيل نطاق خادم C2 هذا عبر GoDaddy وحاليًا انتهت صلاحية هذا النطاق منذ 7 أشهر وفقًا لـ RiskIQ’s PassiveTotal.

عن فدوى

شاهد أيضاً

عنوان URL قد يتيح للمهاجمين سرقة المعلومات الحساسة من التطبيقات على iOS

أوضح باحثو الأمن هجومًا جديدًا في الوسط قد يسمح لتطبيق ضار تم تثبيته على جهاز …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *