سبتمبر 14, 2016

برمجية تروجان خبيثة تستهدف تطبيق بوكيمون جو

أخبار أمن برمجية خبيثة

في أقل من ثلاثة أشهر بعد طرح برنامج بوكيمون جو، تمكن المتلصصون من الدخول إلى موقع جوجل بلاي وتحميل برمجيات خبيثة تستهدف المتدربين على لعبة بوكيمون. لقد اكتشف خبراؤنا برمجية تروجان خبيثة منذ عدة أيام ورفعوا تقريراً فورياً بالأمر لشركة جوجل، لكن الشفرة الخبيثة لسوء الحظ كانت قد تمكنت من نصف مليون مستخدِم متدرِّب بعد تحميلهم تطبيقاً خبيثاً اسمه “جايد فور بوكيمون جو”

pokemon-go-trojan-featured

لقد جرَّب ما يقرب من 6 ملايين شخص نسخة بوكيمون جو خلال الأشهر القليلة الماضية، ولم يكن غريباً أن تجذب لعبة بوكيمون بشعبيتها الجارفة انتباه مجرمي الشبكة الإلكترونية. في شهر يوليو الماضي تم رصد أول محاولة برمجة خبيثة لبوكيمون جو بعد طرح اللعبة مباشرة في الأسواق، لكن الوضع في ذلك الحين لم يكن سيئاً إلى حدٍّ كبير كما هو عليه الآن، حيث تم تخزين الشفرة الخبيثة في خزينة آمنة داخل ملف خبيث وظلت الشفرة ساكنة حتى انتشرت اللعبة على الشبكة. لقد اختلفت القصة الآن.

اُكتُشِفت برمجية تروجان الخبيثة على موقع جوجل بلاي حيث أخفت نفسها بحرفية عالية عن رقابة الخبراء الأمنيين واختارت ضحاياها بعناية فائقة كما يفعل الأشخاص المحتالون دوماً. بدأت الشفرة في إظهار الكثير من الإعلانات للمختارين من ضحاياها، كما تمكنت من الدخول اللامحدود إلى أجهزة الضحايا وقامت بتحميل مجموعة من الملفات الخبيثة والتطبيقات غير المرحَّب بها.

 

كيف يعمل الأمر؟

قام مرسلو هذه البرمجية الخبيثة بضغط الملفات التنفيذية للشفرة باستخدام برنامج تجاري (باكار)، وتمت العملية بأن احتوت الملفات بعد فك ضغطها على بوكيمون جو العادي -لكنه في الحقيقة شفرة تروجان المموهة- إضافة إلى وحدة برمجة صغيرة بها رمز غامض.

pokemon-go-trojan-screenshot-1

بعد أن يثبت المستخدم “جايد فور بوكيمون جو”، ينتظر البرنامج الخبيث صامتاً بعض الوقت، والسبب وجيه؛ حيث إنه يريد أن يعلم إذا كان قد احتل موقعاً في جهاز حاسب حقيقي أم جهاز افتراضي، وهو ما يستخدمه خبراء النظم الأمنيون عادة بوصفه نظاماً محاكياً بغرض دراسة سلوكيات البرامج الخبيثة في مختلف ظروف التشغيل.

بعد أن يتأكد من احتلاله جهاز حاسب حقيقياً غير افتراضي، ترسل شفرة تروجان رسالة إلى جهاز خادم يتولى القيادة والسيطرة بأوامر مباشرة من مجرمي الشبكة الإلكترونية، وتحتوي الرسالة على تقرير يوضح طراز الجهاز الذي تم احتلاله، ونسخة برنامج التشغيل، والبلد الموجود فيه الجهاز المحتلّ، واللغة الأساسية للجهاز، وغير ذلك الكثير.

pokemon-go-trojan-screenshot-2

يقوم الجهاز الخادم بتحليل المعلومات، ثم يقرر إذا كان الضحية يناسب متطلباته أم لا، ثم يُخطِر شفرة تروجان بقراره. بناء على تصريح صادر عن الحاسب الخادم، يقوم “جايد فور بوكيمون جو” بتحميل ملفات خبيثة إضافية (تحتوي أيضاً رموزاً غامضة)، وتكون تلك الملفات كالأسلحة الثقيلة لشفرة تروجان التي تقوم باستغلال عدد من نقاط الضعف المُكتشَفَة خلال الفترة من 2012م إلى 2015م.

الآن، تمكنت البرمجيات الخبيثة المسلحة من النظام الضحية بأكمله، وقامت بتحميل تطبيقات إضافية في صمت، كما أغرقت الهاتف المتحرك في بحر من الإعلانات.

إنها مجرد إعلانات! هل هي خطيرة فعلاً؟

لم تكن الإعلانات يوماً مبعث بهجة وسرور، إذ نادراً ما تكون كذلك، أضف إلى ذلك أن المقابل لاستخدام خدمات جوجل مجاناً هو إطلاعك على إعلانات من جوجل نفسها. أما في حالة المتلصصين على هاتفك فإن الأمر يتعدى ذلك؛ حيث إنهم ينقلون الأمراض إلى هاتفك عن طريق برمجيات خبيثة تعرض رايات وشعارات طول الوقت.

إلا أن الجزء الأخطر والأسوأ في الأمر ما زال خافياً حيث يستطيع “جايد فور بوكيمون جو” سراً أن يُحمِّل أي تطبيقات على جهازك. حتى الآن، يبدو أن المحتالين قد اختاروا طريقاً متوسط السهولة لكسب المال: إنها الإعلانات، وغداً قد يقررون زيادة دخلهم بتعطيل جهازك وإغلاقه وطلب فدية منك لإعادة تشغيله، أو يقومون بسرقة الأموال من حسابك المصرفي.

وعلى الرغم من إزالة شفرة تروجان من موقع جوجل بلاي، إلا أن حوالي نصف مليون شخص قد قاموا بتحميله على أجهزتهم. إننا نعلم تماماً أن الأجهزة الملوثة بشفرة تروجان موجودة في روسيا والهند وإندونيسيا، إلا أن الشفرة تستهدف أيضاً المستخدمين في المناطق التي تتحدث اللغة الإنجليزية، ويبدو أن ضحاياهم حول العالم كثيرون.

 

 

كيف تحمي نفسك؟

إذا ساورك القلق من احتمال إصابة جهازك بشفرة تروجان، فاحذف التطبيقات الخبيثة فوراً وافحص جهازك مستخدماً مضاد الفيروسات ومؤمِّن نظام أندرويد من كاسبرسكي. هذا البرنامج مجاني ويقوم برصد شفرة تروجان وكشفها في الإعلان التالي: HEUR:Trojan.AndroidOS.Ztorg.ad

ولحماية نفسك مستقبلاً، اتبع الخطوات التالية:

 

  • تأكد أن تحميل البرامج من مواقع رسمية أصلية ليس كافياً لضمان أمنها بنسبة 100%، حيث يقوم المجرمون أحياناً بمحاولات التفافية على نظم الأمن والحماية التي تطبقها جوجل وشركات أخرى، ويُعد برنامج “جايد فور بوكيمون جو” خير مثال لذلك.
  • قم بتحميل وتركيب رُقَع برمجية فوراً على هاتفك الذكي لغرض التحديث والتعامل الفوري مع المخاطر و(على حاسبك أيضاً)؛ لأن مجرمي الإنترنت يثِبون على نقاط الضعف سواء كانت في الهاتف المتحرك أو في أنظمة تشغيل الحاسبات.
  • تذكر أن التصنيفات ووجهات النظر على موقع جوجل بلاي ليست بالضرورة صحيحة ويُعتمد عليها؛ لأن المجرمين قادرون على تزويرها باستخدام برمجيات خبيثة خاصة- فمثلاً برنامج “جايد فور بوكيمون جو” نفسه حاصل على أربع نجوم على موقع جوجل بلاي.