اكتشف خبراء كاسبرسكي لاب مؤخراً تطبيقاً خبيثاً جديداً على متجر جوجل بلاي Google Play يعرف باسم Guide for Pokémon Go، حيث يمتلك التطبيق قدرة السطو على صلاحية روت للوصول الى جذر نظام أندرويد المشغل لأجهزة الهواتف الذكية.
ويستخدم التطبيق تلك الإمكانية لتثبيت وإزالة التطبيقات وعرض الإعلانات غير المرغوب فيها، وقد تم تحميل التطبيق أكثر من 500 ألف مرة، وسجل هناك ما لا يقل عن 6000 إصابة ناجحة.
وقد أبلغت شركة كاسبرسكي لاب بدورها شركة جوجل بشأن برمجية حصان الطروادة الخبيثة، ومن ثم تمت إزالة التطبيق من متجر جوجل بلاي Google Play.
وقد نتج عن ظاهرة Pokémon Go العديد من التطبيقات المتشابها بسبب الاهتمام متزايد من جانب مجرمي الإنترنت، وكشفت نتائج تحليلات كاسبرسكي لاب لتطبيق Guide for Pokémon Go عن وجود شيفرة خبيثة تقوم بتحميل برمجية التجذير الخبيثة، وهو ما يضمن الوصول إلى نواة نظام التشغيل أندرويد لأغراض تثبيت وإزالة التطبيق بالإضافة إلى عرض الإعلانات.
وتتضمن برمجية حصان طروادة الخبيثة هذه بعض المزايا المثيرة للاهتمام، والتي من شأنها أن تساعد على تخطي برامج الكشف، على سبيل المثال لا يتم تفعيل هذه البرمجية لحظة قيام الضحية بتشغيل التطبيق.
وتنتظر بدلاً من ذلك حتى يقوم المستخدم بتثبيت أو إزالة تطبيق آخر، وتقوم بعد ذلك بالتحقق لمعرفة فيما إذا كان هذا التطبيق يعمل على جهاز حقيقي أو افتراضي.
وعند تأكد برمجية حصان طروادة من انها تعمل على جهاز حقيقي تنتظر لمدة ساعتين إضافيتين قبل أن تباشر نشاطها الخبيث، ولن تكون الاصابة مضمونة حتى بعد انقضاء تلك المهلة.
وتعمل البرمجية على الاتصال بخادم التحكم والسيطرة وتحميل تفاصيل الجهاز المصاب، بما في ذلك الدولة، واللغة، وموديل الجهاز ونظام التشغيل، وتنتظر برمجية حصان الطروادة الخبيثة لاستلام الرد.
وتواصل البرمجية الخبيثة، بعد ان تتلقى استجابة من المصدر، تنفيذ مزيد من الطلبات وتحميل وتثبيت وتنفيذ أنماط البرمجيات الخبيثة الإضافية.
ويشير هذا النمط التشغيلي إلى أنه بإمكان خادم التحكم والسيطرة، على سبيل المثال إيقاف استمرار الهجوم في نقطة ما في حال الرغبة بتخطي مجموعة معينة من المستخدمين فقط لأنه لا يريد استهدافهم، أو تخطي أنواع أخرى من الاجهزة التي يشتبه بأنها وهمية/أفتراضية، مما يوفر طبقة إضافية من الحماية للبرمجية الخبيثة.
وتقوم برمجية حصان طروادة الخبيثة، وبمجرد تفعيل صلاحيات الرووتينج (rooting)، بتثبيت أنماطها في مجلدات نظام الجهاز، ثم تقوم خلسة بتثبيت وإزالة التطبيقات الأخرى وعرض الإعلانات غير المرغوب فيها للمستخدم.
ويظهر تحليل كاسبرسكي لاب أن هناك إصدار واحد على الأقل من تطبيق (Pokémon Guide) الخبيث قد كان موجوداً في متجر جوجل بلاي Google Play خلال شهر يوليو 2016.
وقد رصد الباحثون وجود ما لا يقل عن تسعة تطبيقات أخرى مصابة بنفس برمجية حصان الطروادة الخبيثة وكانت موجودة في متجر جوجل بلاي Google Play في أوقات مختلفة منذ ديسمبر 2015.
وتشير بيانات كاسبرسكي لاب إلى أن هناك أكثر من 6000 إصابة ناجحة حتى الآن، بما فيها روسيا والهند واندونيسيا، ورغم ان التطبيق موجه نحو المستخدمين الناطقين باللغة الإنجليزية، إلا أن بعض الناس القاطنين في تلك المناطق الجغرافية وغيرهم كانوا على الأرجح معرضين للإصابة أيضاً.
وينبغي على الناس الذين يشعرون بالقلق إزاء احتمال تعرضهم للإصابة ببرمجية حصان الطروادة الخبيثة الإسراع بتثبيت الحل الأمني الموثوق Kaspersky Internet Security for Android على أجهزتهم.
وعند إظهار برنامج المسح الأمني وجود إصابة، فإن أفضل طريقة لإزالة برمجية التجذير (رووتينج أو rooting) الخبيثة هي بإجراء نسخ احتياطي لجميع البيانات واستعادة ضبط المصنع.
وتنصح كاسبرسكي لاب المستخدمين بالتأكد دائما من أن التطبيقات التي سيقومون بتثبيتها مصممة من قبل مطور معروف، وكذلك تحديث نظام التشغيل لديهم وبرامج التطبيقات بشكل مستمر، وعدم تحميل أي شيء قد يبدو مريباً أو يتعذر التحقق من مصدره.