بين الحين والآخر، نتعرف على تطبيقات Android الضارة التي تتسلل إلى متجر Play. ومع ذلك، فإن الاكتشاف الأخير يتعلق بتطبيقين على متجر Play يحتويان على فيروس طروادة الخبيث الذي أثر على أكثر من 11 مليون جهاز يعمل بنظام Android. تم العثور على نفس البرامج الضارة أيضًا في التطبيقات غير الرسمية، مما يعني أن عدد الضحايا هنا محتمل كثيراً أعلى.
باحثون من كاسبيرسكي اكتشف إصدارًا جديدًا من Necro Trojan، الذي هاجم المستخدمين من مصدرين: من ناحية، يتم تسليم Necro Trojan من خلال تطبيقات شرعية موزعة على متجر Google Play. ومن ناحية أخرى، قامت الجهات الفاعلة السيئة بحقن حصان طروادة الخاص بها في تطبيقات معدلة، مثل الإصدارات المخصصة من Spotify وMinecraft، والتي قام المستخدمون بتنزيلها من خلال وسائل غير رسمية – والمعروفة أيضًا باسم التحميل الجانبي.
التطبيقات المعدلة
قامت Kaspersky أولاً بالتحقيق في تطبيق Spotify المعدل المسمى Spotify Plus، والذي تم الإعلان عنه على أنه يقدم ميزات Spotify Premium بدون أي رسوم. وبينما ادعى التطبيق أنه “تم التحقق من الأمان”، وجد تحليل Kaspersky أن هذه الادعاءات كاذبة، وأن التطبيق يسمح لفيروس حصان طروادة بإصابة هذه الأجهزة. كما عثر الباحثون على حصان طروادة في الإصدارات المعدلة من تطبيق واتساب، في كل من “GBWhatsApp” و”FMWhatsApp”.
بالإضافة إلى ذلك، تقول شركة Kaspersky إنها عثرت على Necro في سلسلة من تعديلات اللعبة. يتضمن ذلك Minecraft وStumble Guys وCar Parking Multiplayer وMelon Sandbox.
ويؤكد كاسبيرسكي أنه من المستحيل تحديد عدد الضحايا من هذه المصادر غير الرسمية. كل ما يمكننا إحصاؤه هو عدد التنزيلات من التطبيقات المتأثرة في متجر Play.
تطبيقات متجر بلاي
ومن بين جميع التطبيقات المتأثرة التي اكتشفها Kaspersky في متجر Google Play، تبين أن Necro Trojan قد أصاب أكثر من 11 مليون جهاز يعمل بنظام Android. أكبر تطبيق في السلسلة حتى الآن هو تطبيق Wuta Camera، والذي تقول كاسبرسكي إنه تم تنزيله أكثر من 10 ملايين مرة وحده. لم يكن التطبيق ضارًا دائمًا: يقول الباحثون إن حصان طروادة ظهر لأول مرة في الإصدار 6.3.2.148 من التطبيق. تمت إزالته منذ ذلك الحين، وبالتالي فإن التطبيق آمن حاليًا للتنزيل.
ويحتوي Max Browser أيضًا على فيروس طروادة، وتم تنزيله أكثر من مليون مرة. كان الإصدار الأول من هذا التطبيق الذي يحتوي على حصان طروادة هو الإصدار 1.2.0، ولكن منذ أن أبلغت شركة Kaspersky عن التطبيق، قامت Google بإزالة Max Browser من متجر التطبيقات الخاص بها بالكامل.
ماذا يفعل نيكرو
عند تثبيت برامج Necro الضارة على جهازك، يمكنها تنفيذ عدد من الوظائف. كما أوضح BleepingComputer، يمكن لحمولات Necro تنشيط المكونات الإضافية الضارة لتشغيل برامج الإعلانات المتسللة التي تفتح روابطها بنوافذ غير مرئية؛ البرامج التي تقوم بتشغيل البرامج النصية المختلفة؛ وبرامج تفعيل الاشتراكات الاحتيالية؛ والأدوات التي توجه حركة المرور الضارة عبر جهازك.
في الواقع، يؤدي التنزيل غير الرسمي لتطبيقك، أو التنزيل الرسمي في حالة Max Browser وWuta Camera، إلى توليد الأموال للمهاجمين عندما تفتح الإعلانات عن غير قصد وتقوم بتشغيل اشتراكات احتيالية في الخلفية.
كيف تحمي جهازك
أول شيء يجب عليك فعله هو فحص هاتف Android الخاص بك بحثًا عن أي من تطبيقات Play Store المذكورة أعلاه. إذا كان لديك Wuta Camera، فتأكد من تحديث التطبيق فورًا، أو حذفه من هاتفك. إذا كان لديك متصفح Max، فاحذفه: لا توجد نسخة آمنة من هذا التطبيق.
بالإضافة إلى ذلك، احذف أيًا من التطبيقات المعدلة المذكورة في هذه المقالة إذا كانت لديك على هاتفك الذكي، وكن يقظًا بشأن التنزيلات غير الرسمية في المستقبل. من المؤكد أن التحميل الجانبي يفتح تطبيقات أكثر مما هو موجود في متجر Play، ولكن نظرًا لوجود عدد أقل من الضوابط واللوائح، فإنك تتعرض لخطر تنزيل شيء ضار.
