هذا الاسبوع، ذكرت مجموعة أبحاث الأمن Zscaler لقد اكتشفوا أكثر من 90 تطبيقًا ضارًا لنظام Android متاحًا على متجر Play. تم تثبيت التطبيقات أكثر من 5.5 مليون مرة بشكل جماعي، وكان العديد منها جزءًا من حملة البرامج الضارة المستمرة من Anatsa، والتي استهدفت أكثر من 650 تطبيقًا مرتبطًا بمؤسسات مالية.

اعتبارًا من فبراير 2024، لقد أصاب Anatsa ما لا يقل عن 150 ألف جهاز عبر العديد من التطبيقات الخادعة، والتي يتم تسويق الكثير منها على أنها برامج إنتاجية. على الرغم من أننا لا نعرف هويات معظم التطبيقات المشاركة في هذا الهجوم الأخير، إلا أننا نعرف اثنين: PDF Reader & File Manager، بالإضافة إلى QR Reader & File Manager. وفي وقت تحقيق Zscaler، حصل التطبيقان على أكثر من 70000 عملية تثبيت فيما بينهما.

كيف تصيب هذه التطبيقات الضارة هاتفك

على الرغم من عملية المراجعة التي تجريها Google للتطبيقات التي يتم تطبيقها على متجر Play، إلا أن حملات البرامج الضارة مثل Anatsa تكون خادعة، ويمكنها استخدام آلية تحميل حمولة متعددة المراحل لمساعدتها على تجنب هذه المراجعات. بمعنى آخر، يتنكر التطبيق على أنه شرعي، ولا يبدأ إلا بعد تثبيته على جهاز المستخدم.

قد تعتقد أنك تقوم بتنزيل قارئ PDF، ولكن بمجرد تثبيته وفتحه، سيتصل تطبيق “dropper” بخادم C2 ويستعيد التكوينات والسلاسل الأساسية التي يحتاجها. سيقوم بعد ذلك بتنزيل ملف DEX يحتوي على التعليمات البرمجية الضارة وتنشيطه على جهازك. من هناك، يتم تنزيل عنوان URL لحمولة Anatsa من خلال ملف التكوين، ويقوم ملف DEX بتثبيت حمولة البرامج الضارة، مما يؤدي إلى إكمال العملية وإصابة هاتفك.

لحسن الحظ، تمت إزالة جميع التطبيقات المحددة من متجر Play، وتم حظر مطوريها. ومع ذلك، لن يؤدي ذلك إلى حذف هذه التطبيقات من هاتفك الذكي إذا قمت بتنزيلها. إذا كان لديك أي من هذين التطبيقين على هاتفك، فقم بإزالتهما على الفور. يجب عليك أيضًا تغيير رموز المرور الخاصة بأي تطبيقات مصرفية قد تكون استخدمتها على هاتفك لتجنب الوصول إلى حساباتك من قبل جهات التهديد التي تقف وراء Anatsa.

كيفية تجنب التطبيقات الضارة

على الرغم من أن مطوري البرامج الضارة قد يكونون مخادعين في هجماتهم، إلا أن هناك بعض النصائح التي يمكنك اتباعها لتحديد ما إذا كان التطبيق الموجود على متجر Play شرعيًا أم لا. الأول هو الانتباه حقًا إلى قائمة التطبيق: انظر إلى اسمه ووصفه وصوره: هل يتطابق كل شيء مع الخدمة التي يعلن عنها المطورون؟ هل النسخة مكتوبة بشكل جيد أم أنها مليئة بالأخطاء؟ كلما ظهرت الصفحة بشكل أقل احترافية، زاد احتمال أن تكون مزيفة.

قم بتنزيل التطبيقات من الناشرين الذين يمكنك الوثوق بهم فقط. وينطبق هذا بشكل خاص إذا كنت تقوم بتنزيل تطبيق شائع، مثل تطبيقات البرامج الضارة في بعض الأحيان انتحال صفة التطبيقات رفيعة المستوى على الهواتف والأجهزة الأخرى. تحقق مرة أخرى من المطور الذي يقف وراء التطبيق للتأكد من أنه هو الشخص الذي يزعم أنه هو.

يجب عليك أيضًا التحقق من المتطلبات والأذونات التي يطلبها التطبيق. يجب عادةً تجنب أي شيء يطلب إمكانية الوصول، لأن هذه إحدى الطرق الرئيسية التي تتخطى بها مجموعات البرامج الضارة معلمات الأمان الموضوعة على العديد من الأجهزة الأحدث. تتضمن الأذونات الأخرى التي يجب البحث عنها التطبيقات التي تطلب الوصول إلى قائمة جهات الاتصال الخاصة بك والرسائل النصية القصيرة. إذا كان قارئ PDF يريد جهات الاتصال الخاصة بك، فهذه علامة حمراء كبيرة.

اقرأ المراجعات الخاصة بالتطبيق أيضًا. انتبه من التطبيقات التي لا تحتوي على العديد من التقييمات، أو تلك التي تبدو جميع التقييمات فيها إيجابية بشكل مثير للريبة.

يمكن أن يكون عنوان البريد الإلكتروني لدعم التطبيق مفيدًا أيضًا. سيكون لدى العديد من تطبيقات البرامج الضارة حساب Gmail عشوائي (أو أي حساب بريد إلكتروني مجاني آخر) مرتبط بالبريد الإلكتروني الخاص بالدعم. على الرغم من أنه لن يكون لكل تطبيق بريد إلكتروني احترافي مُدرج للحصول على الدعم، إلا أنه يمكنك عادةً معرفة ما إذا كان هناك شيء ما غير واضح بناءً على المعلومات التي توفرها المجموعة.

لسوء الحظ، لا توجد طريقة مؤكدة لتجنب تطبيقات البرامج الضارة إلا إذا لم تقم بتثبيت التطبيقات على الإطلاق. ولكن، إذا كنت على دراية بالتطبيقات التي تقوم بتثبيتها وانتبهت إلى الأذونات والمطور والمعلومات المهمة الأخرى، فيمكنك عادةً معرفة ما إذا كان التطبيق غير واضح أم لا.