اكتشف باحثو الأمن السيبراني من Threat Fabric حملة جديدة وناجحة إلى حد ما لتقديم أحصنة طروادة إلى Android.
يحذر الخبراء من أنه منذ أن أجرت Google تحديثات على "سياسة برنامج المطورين Developer Program Policy"، يبحث المهاجمون عن طرق جديدة لتقديم البرامج الضارة من خلال متجر Play والبقاء تحت الرادار أثناء القيام بذلك.
تتضمن هذه الحملة الجديدة عدة قطارات، مع أكثر من 130000 عملية تنزيل فيما بينها، وتنشر اثنين من أحصنة طروادة المعروفة على نقاط النهاية المتنقلة للضحايا: Sharkbot و Vultur. في حين أن أهداف Sharkbot هي إيطاليين حصريًا، فإن مشغلي Vultur يلقون بشبكة أكبر إلى حد ما، لا تستهدف الإيطاليين فحسب، بل تستهدف أيضًا الأشخاص في المملكة المتحدة وهولندا وألمانيا وفرنسا.
يحذر الخبراء من أنه منذ أن أجرت Google تحديثات على "سياسة برنامج المطورين Developer Program Policy"، يبحث المهاجمون عن طرق جديدة لتقديم البرامج الضارة من خلال متجر Play والبقاء تحت الرادار أثناء القيام بذلك.
تتضمن هذه الحملة الجديدة عدة قطارات، مع أكثر من 130000 عملية تنزيل فيما بينها، وتنشر اثنين من أحصنة طروادة المعروفة على نقاط النهاية المتنقلة للضحايا: Sharkbot و Vultur. في حين أن أهداف Sharkbot هي إيطاليين حصريًا، فإن مشغلي Vultur يلقون بشبكة أكبر إلى حد ما، لا تستهدف الإيطاليين فحسب، بل تستهدف أيضًا الأشخاص في المملكة المتحدة وهولندا وألمانيا وفرنسا.
تحديثات وهمية
طريقة عمل Sharkbot بسيطة: الإصدار الموجود في مستودع تطبيقات Google للجوّال ليس ضارًا، ولكن بمجرد أن يقوم المستخدم بتشغيله، فإنه يعرض صفحة متجر Play وهمية، مما يجبر الضحية على "تحديث" التطبيق قبل استخدامه. وخلص الباحثون إلى أنه "نظرًا لأن الضحايا متأكدين من أصل التطبيق، فمن المرجح جدًا أن يقوموا بتثبيت وتشغيل حمولة Sharkbot التي تم تنزيلها".
هدف Sharkbot هو تحويل الأموال، من الحسابات المصرفية الخاصة بالضحايا، إلى المشغلين، عبر أنظمة التحويل التلقائي. وصفتها NCC Group بأنها "تقنية متقدمة advanced technique" نادرًا ما تستخدم مع برامج Android الضارة، والتي تمكن الجهات الفاعلة في التهديد من ملء الحقول تلقائيًا في التطبيقات المصرفية المشروعة عبر الهاتف المحمول.
من ناحية أخرى، يستهدف Vultur تطبيقات الوسائط الاجتماعية والمراسلة والتطبيقات المصرفية وتطبيقات تبادل العملات المشفرة.
بين الاثنين، يبدو أن Vultur هو حصان طروادة الأكثر نجاحًا، حيث تقول Threat Fabric إنها وصلت إلى أكثر من 100،000 ضحية احتيال محتملة في الأشهر القليلة الماضية.
وخلص الباحثون إلى أن "التوزيع من خلال القطارات على Google Play لا يزال الطريقة الأكثر تكلفة وقابلة للتطوير للوصول إلى الضحايا بالنسبة لمعظم الممثلين من مختلف المستويات".
"بينما تتطلب التكتيكات المعقدة مثل تسليم الهجمات الموجهة عبر الهاتف مزيدًا من الموارد ويصعب توسيع نطاقها، فإن القطارات الموجودة في المتاجر الرسمية والمتاجر التابعة لأطراف ثالثة تسمح لممثلي التهديد بالوصول إلى جمهور عريض مطمئن بجهود معقولة".
