من الشائع العثور على جميع أنواع البرامج الضارة الكامنة تحت ما يبدو أنه تطبيقات غير ضارة على متجر Google Play الرسمي. لسوء الحظ، حتى لو تمت مراقبة المنصة بعناية، لا يمكن للمشرفين دائمًا التقاط هذه التطبيقات قبل نشرها. أحد أكثر التنوعات شيوعًا في هذا النوع من البرامج الضارة هو برامج الاشتراك على طريقة حصان طروادة، التي تسجل للحصول على خدمات مدفوعة دون علم المستخدم. لقد كتبنا سابقًا عن العائلات الأكثر شيوعًا في هذا النوع من فيروسات حصان طروادة. هنا سنخبرك عن واحد آخر. إنه مشابه لبرنامج اشتراك الجوكر على طريقة حصان طروادة — لهذا السبب يسمى هارلي، وهو اسم (معدل قليلًا) لمساعدة شخصية شريرة معروفة في كتاب هزلي. ربما يكون لفيروسي حصان طروادة أصول مشتركة.
أبرز الحقائق عن هارلي على طريقة حصان طروادة
منذ عام 2020، تم العثور على أكثر من 190 تطبيقًا مصابًا بـهارلي على Google Play. التقدير المتحفظ لعدد تنزيلات هذه التطبيقات هو 4.8 ملايين، ولكن الرقم الفعلي قد يكون أعلى من ذلك.
تمامًا مثل الجوكر على طريقة حصان طروادة، تقلد فيروسات حصان طروادة في عائلة هارلي التطبيقات المشروعة. إذًا، كيف يجري الأمر؟ يقوم المحتالون بتنزيل التطبيقات العادية من Google Play، وإدراج التعليمات البرمجية الضارة فيها، ثم تحميلها إلى Google Play باسم مختلف. قد لا تزال التطبيقات تحتوي على الميزات المدرجة في الوصف، لذلك قد لا يشك المستخدمون حتى في وجود تهديد.
معظم أفراد عائلة البرنامج الضار الجوكر هي برامج تحميل متعددة المراحل — تتلقى الحمولة من خوادم C&C للمحتالين. من ناحية أخرى، تحتوي فيروسات حصان طروادة في عائلة هارلي على الحمولة الكاملة داخل التطبيق وتستخدم طرقًا مختلفة لفك التشفير وإطلاقها.
كيفية عمل برنامج اشتراك هارلي على طريقة حصان طروادة
لنأخذ على سبيل المثال تطبيقًا يسمى com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7)، وهو تطبيق مصباح يدوي يحتوي على أكثر من 10000 تنزيل من Google Play.
عند تشغيل التطبيق، يتم تحميل مكتبة مراوغة:
تفك المكتبة تشفير الملف من موارد التطبيق.
من المثير للاهتمام أن منشئي البرامج الضارة تعلموا كيفية استخدام لغتي Go وRust، ولكن في الوقت الحالي تقتصر مهاراتهم على فك تشفير وتحميل حزمة SDK الخبيثة.
مثل برامج اشتراك حصان طروادة الأخرى، يجمع هارلي معلومات حول جهاز المستخدم، وخاصة حول شبكة الجوال. يتحول هاتف المستخدم إلى شبكة الجوال ثم يطلب حصان طروادة من خادم C&C تكوين قائمة الاشتراكات التي يجب الاشتراك فيها.
يعمل حصان طروادة هذا على وجه الخصوص فقط مع المشغلين التايلانديين، لذلك يتحقق أولًا من رموز شبكات المحمول (MNCs) — المعرفات الفريدة لمشغلي الشبكات للتأكد من أنهم تايلنديون:
ومع ذلك، وكاختبار لرموز شبكات المحمول، فإنه يستخدم رمز شركة China Telecom — 46011. تشير هذه الدلائل وغيرها إلى أن مطوري البرنامج الضار موجودون في الصين.
يفتح حصان طروادة عنوان الاشتراك في نافذة غير مرئية، وعن طريق حقن نصوص JS، يدخل رقم هاتف المستخدم، ويضغط على الأزرار المطلوبة، ويدخل رمز التأكيد من رسالة نصية. والنتيجة هي أن المستخدم يحصل على اشتراك مدفوع دون أن يدرك ذلك.
من السمات البارزة الأخرى لحصان طروادة هذا أنه يمكنه الاشتراك ليس فقط عندما تكون العملية محمية برمز رسالة نصية، ولكن أيضًا عندما تكون محمية بمكالمة هاتفية: في هذه الحالة يجري حصان طروادة مكالمة برقم محدد ويؤكد الاشتراك.
تكتشف منتجاتنا التطبيقات الضارة التي وصفناها هنا باسم Trojan.AndroidOS.Harly وTrojan.AndroidOS.Piom.
كيفية حماية نفسك من برامج الاشتراك على طريقة حصان طروادة
تعمل متاجر التطبيقات الرسمية باستمرار على مكافحة انتشار البرامج الضارة – ولكن كما نرى – فهي ليست ناجحة دائمًا. قبل تثبيت التطبيق، يجب عليك أولًا قراءة مراجعات المستخدم والتحقق من تقييمه على Google Play. بالطبع، ضع في اعتبارك أن المراجعات والتقييمات قد تكون مبالغًا فيها. للتعامل مع الأمر من جميع النواحي حتى تتمكن من تجنب الوقوع فريسة لهذا النوع من البرامج الضارة، نوصي بتثبيت حل أمان موثوق .