تمت إزالة عدد قليل من تطبيقات Android المليئة بالبرامج الضارة، مرة أخرى، من متجر Google Play، وكانت جميعها تستفيد من أحدث الاتجاهات في تصميم البرامج الضارة: التنكر في شكل نسخ بريئة من التطبيقات المفيدة للهروب من الاكتشاف الأولي بواسطة Google، و تتحول إلى برامج ضارة سيئة بمجرد أن يبدأ الأشخاص في تنزيلها واستخدامها.
الاخبار الجيدة؟ لا يبدو أن التطبيقات المعنية تحتوي على عدد كبير من التنزيلات. الآلاف، في أحسن الأحوال، وليس الملايين، لذلك هناك احتمالات كبيرة جدًا أنك لم تسمع عن أي من التطبيقات المتأثرة. ومع ذلك، أيًا كان المسؤول عن الهجوم، فقد قام بإعدادهم جميعًا تحت مطورين مختلفين، لذلك ليس هناك أي قواسم مشتركة يمكن البحث عنها.
وبصرف النظر عن أسماء التطبيقات، التي سندرجها بعد قليل، فإن الخصائص الموحدة الأخرى الوحيدة هي أن المهاجم استخدم نفس البريد الإلكتروني للمطور لكل منها -“[email protected]“- وترتبط جميع التطبيقات بنفس صفحة الخصوصية عبر الإنترنت (“https://gohhas.github.io،” متبوعًا باسم التطبيق).
كيفية معرفة ما هو “ماسح الباركود” الذي يعد برنامجًا ضارًا لنظام Android
اقرأ أكثر
إذا كان لديك أي من هذه التطبيقات لا تزال مثبتة على جهاز Android الخاص بك، فقد حان الوقت للتخلص منها:
كعكة VPN
المحيط الهادئ VPN
eVPN
BeatPlayer
QR/ماسح الباركود ماكس
مشغل الموسيقى
com.tooltipnatorlibrary
QRecorder
على الرغم من أنه لا يمكنك التحقق من اسم مطور التطبيق مباشرة على هاتفك الذكي، ولا معلومات الاتصال أو سياسة الخصوصية الخاصة به، إلا أنك يستطيع انقر لمعرفة ما إذا كان التطبيق المذكور موجودًا على متجر Google Play بعد الآن. على جهاز Pixel، يكون الأمر سهلاً مثل الانتقال إلى الإعدادات > التطبيقات والإشعارات > مشاهدة الكل [number] التطبيقات > [app name] > متقدم > تفاصيل التطبيق. سيؤدي ذلك إلى تحويلك إلى قائمة Google للتطبيق عبر الإنترنت. إذا لم يكن موجودًا، وكان التطبيق المذكور يحمل نفس اسم أحد التطبيقات التي أدرجتها للتو، فقد قمت بتثبيت برامج ضارة.

ائتمان: ديفيد ميرفي
أما بالنسبة لكيفية عمل البرامج الضارة المذكورة، نقطة تفتيش للأبحاث لديه كتابة كبيرة:
اكتشفت شركة Check Point Research (CPR) مؤخرًا برنامج Dropper جديد ينتشر عبر متجر Google Play الرسمي، والذي يقوم بتنزيل وتثبيت AlienBot Banker وMRAT.
تستخدم أداة Dropper هذه، التي يطلق عليها اسم Clast82، سلسلة من التقنيات لتجنب الكشف عن طريق اكتشاف Google Play Protect، وتكمل فترة التقييم بنجاح، وتغير الحمولة التي تم إسقاطها من حمولة غير ضارة إلى AlienBot Banker وMRAT.
عائلة البرامج الضارة AlienBot عبارة عن برامج ضارة كخدمة (MaaS) لأجهزة Android تسمح للمهاجم عن بعد، في الخطوة الأولى، بإدخال تعليمات برمجية ضارة في التطبيقات المالية المشروعة. ويتمكن المهاجم من الوصول إلى حسابات الضحايا، وفي النهاية يتحكم بشكل كامل في أجهزتهم. عند السيطرة على الجهاز، يصبح لدى المهاجم القدرة على التحكم في وظائف معينة تمامًا كما لو كان يحمل الجهاز فعليًا، مثل تثبيت تطبيق جديد على الجهاز، أو حتى التحكم فيه باستخدام برنامج TeamViewer.
على الرغم من أن الاحتمالات منخفضة، إذا قمت بتثبيت أي من هذه التطبيقات المشبوهة على جهازك، فإنني أوصي بالاستيلاء على Malwarebytes ومنح نفسك فرصة جيدة (حر) المسح. أثناء قيامك بذلك، قم بتغيير كلمة المرور لأي حسابات مالية مرتبطة بالتطبيقات التي قمت بتثبيتها على جهاز Android الخاص بك. إذا لم يعثر Malwarebytes على أي شيء على جهازك، فلديك خياران: مواجهة الأمر والأمل في الأفضل، أو أن تكون أكثر اهتمامًا بالأمان وتعيد ضبط جهازك على المصنع، وإعادة تثبيت كل شيء من الصفر.
لست متأكدًا من الخيار الذي سأختاره، ولم أتمكن من العثور على الكثير من المعلومات حول إزالة AlienBot أو MRAT. يمكنك التفكير في تثبيت تطبيق أو تطبيقين آخرين للمسح الضوئي لمعرفة ما إذا كانوا يلتقطون أي شيء (F-الآمنة، او حتى أفاست)، وإذا اتفق الجميع على أنه لم يكن هناك أي خطأ، فيمكنك ترك الأمر كذلك – بعد التأكيد الثلاثي عبر شاشة “التطبيقات والإشعارات” المذكورة أعلاه > الوصول الخاص للتطبيقات بأنه لا توجد أي تطبيقات ذات أسماء غريبة تتمتع بأذونات إدارية على جهازك.

ائتمان: ديفيد ميرفي
