وفقًا لـ BGR ، نشأت هذه التطبيقات الخبيثة من برنامج خبيث يُسمى Anatsa (المعروف أيضًا باسم TeaBot)، وهو برنامج خبيث مصرفي خطير للغاية، يبدو سليمًا عند تثبيته لأول مرة، ولكنه بعد ذلك يُنزّل برمجيات خبيثة أو خوادم أوامر وتحكم (C2) مُتنكرة في صورة تحديثات للتطبيقات. هذا يسمح للبرنامج الخبيث بتجنّب الكشف عنه في متجر تطبيقات أندرويد.
أكثر من 5.5 مليون عملية تنزيل لتطبيقات أندرويد مصابة ببرمجية أناتسا الخبيثة
بمعنى آخر، لا تُعتبر التطبيقات ضارة في البداية. فهي تخدع المستخدمين وتوهمهم أنها آمنة قبل أن تُحمّل محتوى ضارًا مُتنكرًا في صورة تحديثات تطبيقات أصلية. بمجرد إصابة الجهاز بنجاح، يبدأ البرنامج الخبيث بالتواصل مع خادم C2، ثم يفحص جهاز المستخدم بحثًا عن أي تطبيقات مصرفية مُثبتة.
إذا عثر على أي معلومات، يُرسلها إلى خادم C2، الذي يُرسل بدوره صفحة تسجيل دخول مزيفة للتطبيقات المكتشفة. إذا وقع المستخدم في هذه الخدعة وأدخل بيانات تسجيل الدخول الخاصة به، تُرسل هذه المعلومات إلى الخادم، حيث يمكن للمخترق استخدامها لتسجيل الدخول إلى تطبيق الضحية المصرفي وسرقة أمواله.
اثنان من تطبيقات Android الخبيثة التي سمتها Zscaler
التطبيقان اللذان اكتشفهما Zscaler مصابان بـ Anatsa هما PDF Reader & File Manager وQR Reader & File Manager. يقول الباحثون إن Anatsa يستهدف بشكل رئيسي تطبيقات المؤسسات المالية في المملكة المتحدة، مع وجود ضحايا أيضًا في الولايات المتحدة وألمانيا وإسبانيا وفنلندا وكوريا الجنوبية وسنغافورة. مع ذلك، ينصح الخبراء المستخدمين بالحذر من المخاطر أينما كانوا.
رغم أن الباحثين لم يُفصحوا عن هويات تطبيقات أندرويد المُصابة على متجر جوجل بلاي، إلا أن التطبيقين المذكورين في المثال أعلاه لم يعودا متاحين. ربما نبه Zscaler جوجل إلى تطبيقات أخرى.
[إعلان 2]
المصدر: https://thanhnien.vn/hon-90-ung-dung-android-doc-hai-tren-google-play-duoc-phat-hien-185240530061227143.htm
تعليق (0)