يميل المستخدمون إلى الاعتقاد بأنه من الآمن تثبيت التطبيقات من Google Play. فبرغم كل شيء، هو أكبر متجر رسمي من بين جميع المتاجر الرسمية لنظام Android، ويتم فحص جميع التطبيقات هناك بدقة بواسطة مشرفي Google، أليس كذلك؟
على الرغم من ذلك، ضع في اعتبارك أن Google Play موطن لأكثر من ثلاثة ملايين تطبيق فريد، والتي يتم تحديث معظمها بانتظام، وأن فحصها جميعًا بشكل شامل – نقصد بشكل شامل حقيقي – يتجاوز موارد حتى واحدة من أكبر الشركات في العالم.
وإدراكًا منهم لذلك، طور مصنعو التطبيقات الضارة عددًا من التقنيات لتسريب ابتكاراتهم إلى Google Play. وفي هذا المنشور، نلقي نظرة على الحالات الأكثر استحواذًا على العناوين الرئيسية لعام 2023 بخصوص التطبيقات الضارة على متجر Android الرسمي، حيث تجاوز إجمالي التنزيلات، صدق أو لا تصدق، 600 مليون. هيا بنا!…
50,000 عملية تنزيل: عمليات تطبيق iRecorder الخبيث يتنصت على المستخدمين
لنبدأ بالحالة الثانوية إلى حد ما لتطبيق iRecorder، لكنها مثيرة للاهتمام للغاية وتوضيحية للغاية. تم تحميل تطبيق تسجيل الشاشة العادي هذا للهواتف الذكية التي تعمل بنظام Android على Google Play في سبتمبر 2021.
لكن في وقت لاحق، في أغسطس 2022، أضاف مطورو التطبيق بعض الوظائف الخبيثة: تعليمات برمجية من فيروس حصان طروادة للوصول عن بُعد Trojan AhMyth، مما تسبب في أن تسجل الهواتف الذكية لجميع المستخدمين الذين ثبتوا التطبيق الصوت من الميكروفون كل 15 دقيقة وإرساله إلى خادم مطوري التطبيق. وبحلول الوقت الذي اكتشف فيه الباحثون البرنامج الضار في مايو 2023، كان تطبيق iRecorder قد تم تنزيله أكثر من 50,000 مرة.
يوضح هذا المثال واحدة من الطرق التي تتسلل بها التطبيقات الضارة إلى Google Play. أولاً، يقوم مجرمو الإنترنت بتحميل تطبيق غير ضار إلى المتجر مما يضمن اجتياز جميع عمليات التحقق التي سيجريها المشرفون. بعد ذلك، عندما يجتذب التطبيق قاعدة جماهيرية ونوعًا من السمعة (الأمر الذي قد يستغرق شهورًا أو حتى سنوات)، يتم تعزيزه بوظائف ضارة في التحديث التالي الذي يتم تحميله إلى Google Play.
620,000 عملية تنزيل: فيروس حصان طروادة Fleckpe
في مايو 2023 أيضًا، اكتشف خبراؤنا أن العديد من التطبيقات على Google Play المصابة بفيروس حصان طروادة للاشتراك Fleckpe. وبحلول ذلك الوقت، كان مطوروه قد حققوا بالفعل 620,000 عملية تثبيت. ومن المثير للاهتمام أن هذه التطبيقات تم تحميلها بواسطة مطورين مختلفين. وهذا أسلوب شائع آخر: ينشئ المجرمون الإلكترونيون العديد من حسابات المطورين في المتجر حتى إذا تم حظر بعضها بواسطة المشرفين، يمكنهم فقط تحميل تطبيق مشابه إلى حساب آخر.
عندما عمل التطبيق المصاب، تم تنزيل الحمولة الخبيثة الرئيسية على الهاتف الذكي للضحية، وبعد ذلك تم توصيل فيروس حصان طروادة بخادم القيادة والتحكم ونقلَ معلومات البلد وشركة الهاتف المحمول. وبناءً على هذه المعلومات، قدم الخادم إرشادات حول كيفية المتابعة. بعد ذلك، فتح Fleckpe صفحات ويب تتضمن اشتراكات مدفوعة في نافذة مستعرض غير مرئية للمستخدم، ومن خلال اعتراض رموز التأكيد من الإخطارات الواردة، اشترك المستخدم في خدمات غير ضرورية مدفوعة الثمن من خلال حساب شركة الهاتف المحمول.
1.5 مليون عملية تنزيل: برامج التجسس الصينية
في يوليو 2023، تم اكتشاف أن Google Play يستضيف تطبيقين لإدارة الملفات – أحدهما حصد مليون تنزيل والآخر نصف مليون. وعلى الرغم من تأكيدات المطورين بأن التطبيقين لا يجمعان أي بيانات، وجد الباحثون أن كلاهما ينقل الكثير من معلومات المستخدم إلى خوادم في الصين، بما في ذلك جهات الاتصال، وتحديد الموقع الجغرافي في الوقت الحقيقي، وبيانات حول طراز الهاتف الذكي وشبكة الهاتف المحمول والصور وملفات الصوت وملفات، وغيرها.
لتجنب إلغاء التثبيت بواسطة المستخدم، أخفت التطبيقات المصابة أيقونات سطح المكتب الخاصة بها – وهو أسلوب شائع آخر يستخدمه مطورو البرامج الضارة للأجهزة المحمولة.
2.5 مليون عملية تنزيل: برامج إعلانية في الخلفية
في حالة حدثت مؤخرًا حيث تم اكتشاف برامج ضارة على Google Play في أغسطس 2023، وجد الباحثون ما يصل إلى 43 تطبيقًا – بما في ذلك، من بين تطبيقات أخرى، TV/DMB Player وMusic Downloader وNews وCalendar – التي تم تحميلها سراً عندما كانت شاشة الهاتف الذكي للمستخدم لا تعمل.
لكي تتمكن التطبيقات من تنفيذ أعمالها في الخلفية، طلبت من المستخدم إضافتها إلى قائمة الاستثناءات المتعلقة بتوفير الطاقة. وبطبيعة الحال، واجه المستخدمون المتأثرون انخفاضًا في عمر البطارية. وبلغ إجمالي عدد التنزيلات لهذه التطبيقات 2.5 مليون مرة، وكان الجمهور المستهدف من الكوريين بشكل أساسي.
20 مليون عملية تنزيل: تطبيقات احتيالية تعد بمكافآت
كشفت دراسة نُشرت في أوائل عام 2023 عن العديد من التطبيقات المشبوهة على Google Play التي شهدت أكثر من 20 مليون عملية تنزيل فيما بينها. وقد وصفت نفسها في المقام الأول كتطبيقات لتتبع الصحة، ووعدت المستخدمين بمكافآت نقدية للمشي والأنشطة الأخرى، بالإضافة إلى مشاهدة الإعلانات أو تثبيت تطبيقات أخرى.
بتعبير أدق، تم منح المستخدم نقاطًا مقابل هذه الإجراءات، والتي يمكن بعد ذلك تحويلها إلى أموال حقيقية. وكانت المشكلة الوحيدة هي أنه للحصول على مكافأة، كان عليك جمع عدد هائل من النقاط وهو ما كان مستحيلاً فعليًا.
35 مليون عملية تنزيل: نسخ Minecraft بداخلها برامج إعلانية
أصبح Google Play أيضًا موطنًا للألعاب الخبيثة هذا العام، حيث كان السبب الرئيسي (وليس لأول مرة) هو لعبة Minecraft – التي لا تزال واحدة من أكثر الألعاب شعبية في العالم. وفي أبريل 2023، تم اكتشاف 38 نسخة من Minecraft في متجر Android الرسمي، بإجمالي 35 مليون عملية تنزيل. وتم استدعاء برامج إعلانية مخفية داخل هذه التطبيقات، وكانت تحتوي بشكل مناسب بما فيه الكفاية على فيروس HiddenAds.
عندما تم إطلاق التطبيقات المصابة، “عرضت” إعلانات مخفية دون علم المستخدم. ولم يشكل ذلك تهديدًا خطيرًا في حد ذاته، لكن مثل هذا السلوك قد يؤثر على أداء الجهاز وعمر البطارية.
يمكن دائمًا متابعة هذه التطبيقات المصابة في وقت لاحق من خلال نظام لتحقيق الأموال أقل ضررًا بكثير. وهذا أسلوب قياسي آخر لمطوري تطبيقات البرامج الضارة على نظام Android: يبدلون بسهولة بين أنواع مختلفة من الأنشطة الضارة اعتمادًا على النوع المربح في أي لحظة.
100 مليون عملية تنزيل: حصاد البيانات والاحتيال عن طريق النقر
في أبريل 2023 أيضًا، تم العثور على 60 تطبيقًا أخرى على Google Play مصابة ببرامج إعلانية أطلق عليها الباحثون اسم Goldoson. وقد حصلت هذه التطبيقات مجتمعة على أكثر من 100 مليون عملية تنزيل على Google Play وثمانية ملايين عملية تنزيل أخرى على متجر ONE الكوري الشهير.
“عرضت” هذه البرامج الضارة أيضًا إعلانات مخفية من خلال فتح صفحات ويب داخل التطبيق في الخلفية. وبالإضافة إلى ذلك، جمعت التطبيقات الضارة بيانات المستخدم – بما في ذلك معلومات عن التطبيقات المثبتة والموقع الجغرافي وعناوين الأجهزة المتصلة بالهاتف الذكي عبر Wi-Fi وBluetooth وغير ذلك الكثير.
يبدو أن Goldoson قد دخل إلى كل هذه التطبيقات جنبًا إلى جنب مع مكتبة مصابة يستخدمها العديد من المطورين الشرعيين الذين كانوا ببساطة غير مدركين لاحتوائها على وظائف ضارة. وهذا ليس أمرًا نادر الحدوث: غالباً ما لا يطور منشئو البرامج الضارة وينشرون التطبيقات على Google Play بأنفسهم، لكن بدلاً من ذلك ينشئون مكتبات مصابة من هذا النوع تصل المتجر جنبًا إلى جنب مع تطبيقات المطورين الآخرين.
451 مليون عملية تنزيل: إعلانات الألعاب الصغيرة وجمع البيانات
نختم بأكبر حالة لهذا العام: في مايو 2023، وجد فريق من الباحثين 101 تطبيقًا كبيرًا غير مؤهلة على Google Play، مع إجمالي تنزيلات بلغ 421 مليونًا. وكان يكمن داخل كل منها مكتبة التعليمات البرمجية SpinOk.
بعد ذلك بوقت قصير، اكتشف فريق آخر من الباحثين 92 تطبيقًا أخرى على Google Play تحتوي على مكتبة SpinOk نفسها، مع عدد أقل بكثير من التنزيلات – 30 مليونًا. وتم العثور على ما يقرب من 200 تطبيق تحتوي على التعليمات البرمجية لمكتبة SpinOK، بإجمالي 451 مليون عملية تنزيل من Google Play فيما بينها. هذه حالة أخرى حيث تم تسليم تعليمات برمجية خطيرة إلى تطبيقات من مكتبة جهة خارجية.
ظاهريًا، كانت مهمة التطبيقات هي عرض مكافآت نقدية واعدة للألعاب المصغرة التطفلية. لكن هذا لم يكن كل شيء: كانت مكتبة SpinOK تتمتع بالقدرة على جمع بيانات المستخدم والملفات وإرسالها إلى خادم الأوامر والتحكم الخاص بمطوريها في الخلفية.
كيفية الحماية من البرامج الضارة على Google Play
بالطبع، لم نقم بتغطية جميع حالات وصول التطبيقات الضارة إلى Google Play في عام 2023 – لكننا تناولنا فقط الحالات الأكثر لفتًا للأنظار. والخلاصة الرئيسية من هذا المنشور هي: البرامج الخبيثة على Google Play أكثر شيوعًا مما يود أي منا أن يعتقد – يزيد إجمالي تنزيلات التطبيقات المصابة مجتمعة عن نصف مليار!
على الرغم من ذلك، تظل المتاجر الرسمية إلى حد بعيد المصادر الأكثر أمانًا. ويعد تنزيل التطبيقات من مكان آخر أكثر خطورة، ولهذا السبب ننصح بشدة بعدم فعل ذلك. لكن يجب عليك أيضًا توخي الحذر في المتاجر الرسمية:
- في كل مرة تقوم فيها بتنزيل تطبيق جديد، تحقق بعناية من صفحته في المتجر للتأكد من أنه أصلي. وانتبه بشكل خاص إلى اسم المطور. وليس من غير المعتاد لمجرمي الإنترنت استنساخ التطبيقات الشائعة ووضعها على Google Play تحت أسماء وأيقونات وأوصاف مماثلة لجذب المستخدمين.
- لا تسترشد بالتقييم العام للتطبيق، لأنه من السهل تضخيمه. وليس من الصعب أيضًا تزييف المراجعات الإطرائية. وبدلاً من ذلك، ركز على المراجعات السلبية ذات التقييمات المنخفضة – حيث يمكنك عادةً العثور على وصف لجميع المشكلات المتعلقة بالتطبيق.
- تأكد من تثبيت حماية موثوقة على جميع أجهزة Android الخاصة بك، والذي يعطي تحذيرًا مسبقًا إذا حاول فيروس حصان طروادة التسلل إلى هاتفك الذكي أو جهازك اللوحي.
- في الإصدار المجاني من Kaspersky for Android تطبيقنا، تذكر إجراء فحص للجهاز يدويًا من وقت لآخر، وتأكد من إجراء فحص مكافحة الفيروسات بعد تثبيت أي تطبيق جديد وقبل تشغيله لأول مرة.
- في الإصدار المدفوع من مجموعة الحماية الخاصة بنا – وهي بالمناسبة مضمنة في الاشتراك في Kaspersky Standard أو Kaspersky Plus أو Kaspersky Premium – يتم إجراء الفحص تلقائيًا، مما يجعلك في مأمن من التطبيقات المصابة.