كيف تمكنت فيروسات Necro Trojan من مهاجمة 11 مليون مستخدم لنظام Android

هنا في Kaspersky Daily، نحث قراء مدونتنا دائمًا على توخي الحذر الشديد عند تنزيل أي محتوى على أجهزتهم. ورغم كل شيء، حتى متجر Google Play ليس محصنًا ضد البرامج الضارة – ناهيك عن المصادر غير الرسمية التي تحتوي على تعديلات وإصدارات مخترقة. وطالما أن العالم الرقمي مستمر في التحول، فسوف تستمر فيروسات حصان طروادة في شق طريقها إلى الأجهزة التي لا تحتوي على حماية موثوقة.

نروي اليوم قصة وقوع 11 مليون مستخدم لنظام Android في جميع أنحاء العالم ضحية لفيروس حصان طروادة Necro Trojan. واصل القراءة لمعرفة التطبيقات التي وجدنا فيها الفيروس وكيفية حماية نفسك منه.

ما هو فيروس Necro

ربما يتذكر قراؤنا المنتظمون القراءة عن فيروس Necro عندما كتبنا عنه لأول مرة في عام 2019. في ذلك الوقت، اكتشف خبراؤنا فيروس حصان طروادة في CamScanner، وهو تطبيق للتعرف على النصوص، تم تنزيله أكثر من 100 مليون مرة من Google Play. الآن قام “صناع فيروس Necro” بضخ دماء جديدة في فيروس حصان طروادة القديم: عثرنا على نسخة أكثر ثراءً بالميزات سواء في التطبيقات الشائعة على Google Play أو في العديد من تعديلات التطبيقات على المواقع غير الرسمية. وعلى الأرجح، استخدم مطورو هذه التطبيقات أداة تكامل إعلانات غير موثوقة يستطيع فيروس Necro من خلالها من التسلل إلى التعليمات البرمجية.

فيروس Necro اليوم عبارة عن أداة تحميل تم تعتيمها لتجنب اكتشافه (لكن هذا لم يمنعنا من العثور عليه). ويقوم بتنزيل الحمولة الضارة بطريقة لا تقل مكرًا باستخدام إخفاء المعلومات الضارة لإخفاء تعليماته البرمجية الخاص في صورة تبدو غير ضارة.

وتستطيع الوحدات الضارة التي تم تنزيلها تحميل وتشغيل أي ملفات DEX (تعليمات برمجية مجمعة مكتوبة لنظام التشغيل Android)، وتثبيت التطبيقات التي تم تنزيلها، والتنقل عبر جهاز الضحية، وحتى الاستيلاء على الاشتراكات المدفوعة. بالإضافة إلى ذلك، يمكنها عرض الإعلانات والتفاعل معها في نوافذ غير مرئية، فضلاً عن فتح روابط عشوائية وتشغيل أي تعليمات برمجية مكتوبة باستخدام JavaScript.

اقرأ المزيد عن كيفية تصميم فيروس Necro وكيفية تشغيله على مدونة Securelist الخاصة بنا.

أين يختبئ فيروس Necro

عثرنا على آثار البرامج الضارة في إصدار معدّل من قبل مستخدمي Spotify، وفي تطبيق تحرير الصور Wuta Camera، وفي Max Browser، وفي تعديلات لكل من WhatsApp والألعاب الشهيرة (بما في ذلك Minecraft).

في تطبيق Spotify المعدل

في بداية تحقيقنا، لفت انتباهنا تعديل غير عادي في تطبيق Spotify Plus. وتلقى المستخدمون دعوات لتنزيل إصدار جديد من تطبيقهم المفضل من مصدر غير رسمي – مجانًا ومع اشتراك غير مقفل يوفر استماعًا غير محدود، سواء عبر الإنترنت أو خارجه. يبدو الزر الأخضر الجميل Download Spotify MOD APK مغريًا للغاية، أليس كذلك؟ قف! إنه برنامج ضار. لا تهتم بضمانات التحقق من الأمان والشهادات الرسمية؛ فهذا التطبيق سوف يسبب الفوضى.

حسنًا، لم أفعل ذلك أبدًا، فكل الإصدارات قابلة للعرض. هل من الممكن أن يكون فيروس Necro أو فيروسات حصان طروادة أخرى مختبئة هناك أيضًا؟

عندما تم تشغيل هذا التطبيق، أرسل فيروس حصان طروادة معلومات عن الجهاز المصاب إلى خادم C2 الخاص بالمهاجمين، وردًا على ذلك حصل على رابط لتنزيل صورة PNG. تم إخفاء الحمولة الضارة في هذه الصورة عن طريق تقنية إخفاء المعلومات الضارة.

في التطبيقات على Google Play

بينما تم توزيع تعديل Spotify من خلال قنوات غير رسمية، وجد تطبيق Wuta Camera المصاب بفيروس Necro طريقه إلى Google Play، حيث تم تنزيل التطبيق أكثر من 10 ملايين مرة. ووفقًا لبياناتنا، اخترقت أداة تحميل Necro الإصدار 6.3.2.148 من Wuta Camera، مع وجود إصدارات نظيفة تبدأ من 6.3.7.138. لذا، إذا كان الإصدار لديك أقدم من هذا الإصدار، فأنت بحاجة إلى تحديث التطبيق على الفور.

أخفى عدد التنزيلات المثير للإعجاب والتقييمات اللائقة وراءهما فيروس حصان طروادة

جمهور Max Browser أقل بكثير — مليون مستخدم فقط. تسلل فيروس Necro إلى التعليمات البرمجية للتطبيق الخاص به في الإصدار 1.2.0. وتمت إزالة التطبيق من Google Play بعد إشعارنا، لكنه لا يزال متاحًا على موارد الطرف الثالث. وبالطبع، لا ينبغي الوثوق بهذه المستعرضات على الإطلاق، حيث لا تزال الإصدارات المصابة بفيروسات حصان طروادة موجودة.

في التعديلات على WhatsApp وMinecraft والتطبيقات الشائعة الأخرى

تتميز برامج المراسلة البديلة عادةً بميزات أكثر من نظيراتها الرسمية. لكن يجب عليك التعامل مع جميع التعديلات، سواء كانت على Google Play أو مواقع تابع لجهة خارجية، على أنها مشبوهة، لأنها غالبًا تأتي مجمعة مع فيروسات حصان طروادة.

على سبيل المثال، وجدنا تعديلات لتطبيق WhatsApp مع أداة تحميل Necro التي يتم توزيعها من مصادر غير رسمية، بالإضافة إلى تعديلات لتطبيقات Minecraft وStumble Guys وCar Parking Multiplayer وMelon Sandbox. ومن المؤكد أن هذا الاختيار ليس عشوائيًا – يستهدف المهاجمون دائمًا الألعاب والتطبيقات الأكثر شعبية بين المستخدمين.

كيفية الحماية من فيروس Necro

أولاً وقبل كل شيء، ننصح بشدة بعدم تنزيل التطبيقات من مصادر غير رسمية لأن خطر إصابة الجهاز مرتفع للغاية. ثانيًا، ينبغي أيضًا التعامل مع التطبيقات الموجودة على Google Play والمنصات الرسمية الأخرى بنسبة صحية من الشك. وحتى التطبيق الشهير مثل Wuta Camera، الذي تم تنزيله 10 ملايين مرة، أثبت عجزه في مواجهة فيروس Necro.

• احرص على حماية أجهزتك حتى لا يفاجئك فيروس حصان طروادة. يكتشف تطبيق Kaspersky for Android فيروس Necro والبرامج الضارة المماثلة الأخرى.
• تحقق من صفحة التطبيق في المتجر قبل التنزيل. نوصي بالاطلاع على المراجعات ذات التقييمات المنخفضة بشكل خاص، لأنها تنبهك بشكل عام إلى المخاطر المحتملة. ويمكن أن تكون التقييمات الإيجابية مزيفة، في حين أنه من السهل تضخيم النتيجة الإجمالية المرتفعة.
• لا تبحث عن تعديلات أو إصدارات مخترقة. تمتلئ هذه التطبيقات دائمًا تقريبًا بجميع أنواع فيروسات حصان طروادة: من أكثرها ضررًا إلى برامج التجسس على الأجهزة المحمولة مثل CanesSpy.