أفاد باحثون أنهم وجدوا تطبيقين جديدين تم تحميلهما من جوجل بلاي 11 مليون مرة، مصابين بنفس عائلة البرامج الضارة.

ويعتقد الباحثون من “كاسبيرسكي” الروسية، أن مجموعة أدوات تطوير البرامج الضارة لدمج قدرات الإعلان هي المسؤولة مرة أخرى، وفقًا لتقارير صحفية، اليوم الأحد 29 سبتمبر 2024.

روبوتات ضارة

تُعد مجموعة أدوات تطوير البرامج، المعروفة باسم SDK، هي تطبيقات توفر للمطورين أطر عمل يمكنها تسريع عملية إنشاء التطبيق بشكل كبير من خلال تبسيط المهام المتكررة.

ويمكن أن تدعم وحدة SDK غير الموثوقة ظاهريًا عرض الإعلانات، ولكن خلف الكواليس، تقدم مجموعة من الأساليب المتقدمة للاتصال الخفي مع الخوادم الضارة.

وتقوم بتحميل بيانات المستخدم وتنزيل التعليمات البرمجية الضارة وتحديثها في أي وقت، وتُعرف عائلة البرامج الضارة الخفية في كلتا هذه باسم Necro.

تستخدم بعض المتغيرات تقنيات مثل التخفي، وهي طريقة تعتيم نادرًا ما تُرى في البرامج الضارة المشابهة.

وبمجرد إصابة الأجهزة بهذا البرنامج الضار، فإنها تتصل بخادم الأوامر والتحكم الذي يتحكم فيه المهاجم، وترسل طلبات ويب تحتوي على بيانات مشفرة تبلغ عن معلومات حول كل جهاز مخترق.

وأوضح الباحثون أن وحدة SDK الضارة تستخدم برمجية تخفي بسيطة للغاية، لكنها فعالة جدًا. كذلك تقوم البرمجية بتنزيل حمولات لاحقة يتم تثبيتها.

مكونات إضافية ضارة

تعمل بدورها على تنزيل مكونات إضافية ضارة يمكن خلطها ومطابقتها لكل جهاز مصاب على حدة، لأداء مجموعة متنوعة من الإجراءات المختلفة.

وجد الباحثون برامج Necro في تطبيقين على جوجل بلاي، وكان أحد هذه التطبيقات هو Wuta Camera، وهو تطبيق تم تنزيله 10 ملايين مرة حتى الآن.

وتحتوي إصدارات Wuta Camera على SDK ضار يصيب التطبيقات، وقد تم تحديث هذا التطبيق لإزالة المكون الضار، كما أصيب تطبيق منفصل تم تنزيله حوالي مليون مرة يُعرف باسم Max Browser، ولم يعد هذا التطبيق متاحًا في جوجل بلاي.

تطبيقات أندرويد

وجد الباحثون أن Necro يصيب مجموعة متنوعة من تطبيقات أندرويد المتوفرة في الأسواق البديلة، وفي غالب الحالات، تروج هذه التطبيقات لنفسها على أنها إصدارات معدلة من تطبيقات شرعية مثل واتساب وغيرها.

وأكد الباحثون أنه يجب على الأشخاص الذين يشعرون بالقلق من احتمال إصابتهم بـNecro التحقق من تطبيقاتهم، والاعتماد على تطبيقات مكافحة الموثوقة لحماية أجهزتهم.