شركة McAfee تكشف حملة برمجيات خبيثة تستهدف أكثر من 50 تطبيق أندرويد

50 تطبيق أندرويد مُخترق بحملة برمجيات خبيثة

كشفت فرق أبحاث الهواتف المحمولة بشركة McAfee عن حملة برمجيات خبيثة واسعة النطاق على نظام أندرويد تحت اسم “الصوت الصامت” Operation NoVoice، والتي انتشرت عبر أكثر من 50 تطبيقًا كان متاحًا سابقًا على متجر قوقل بلاي “Google Play”. وقد تم تنزيل هذه التطبيقات، التي كانت تظهر على أنها أدوات يومية مثل منظفات الهواتف، الألعاب، أو تطبيقات الصور، أكثر من 2.3 مليون مرة، رغم أنه لا توجد إحصاءات دقيقة بعدد الأجهزة المتأثرة.

طبيعة الخطر

إذا نجح الهجوم، يمكن للبرمجيات الخبيثة السيطرة الكاملة على الجهاز، بما في ذلك:

1. حقن شيفرات خبيثة داخل أي تطبيق عند تشغيله.
2. الوصول إلى البيانات الحساسة مثل تطبيقات الرسائل، المالية، أو وسائل التواصل الاجتماعي.
3. البقاء بعد إعادة ضبط المصنع في بعض الأجهزة القديمة أو غير المحدثة.

الأجهزة الحديثة التي تحتوي على تحديثات أمنية مفعلة ليست معرضة للثغرة الجذرية، لكنها قد تبقى عرضة لبعض النشاطات الخبيثة الأخرى.

كيف تعمل Operation NoVoice؟

الهجوم يعتمد على Rootkit، وهي برمجيات خبيثة تمنح وصولًا كاملًا للنظام مع القدرة على إخفاء وجودها عن المستخدم وأدوات الأمان في أندرويد:

1. تنزيل التطبيق الخبيث: تبدأ العملية عند تحميل تطبيق يبدو طبيعيًا ويعمل بشكل عادي.
2. جمع معلومات الجهاز: التطبيق يتواصل مع خادم خارجي لجمع بيانات الجهاز مثل نوع الجهاز، إصدار النظام، ومستوى التحديثات الأمنية.
3. تنفيذ استغلال مخصص للجهاز: إذا نجح الاستغلال، يمنح المهاجم صلاحيات الجذر على الجهاز.
4. التأثير على جميع التطبيقات: يقوم Rootkit بتعديل مكتبات أساسية في النظام، ما يتيح تنفيذ شيفرات خبيثة داخل أي تطبيق.
5. الاستمرار بعد إعادة الضبط: بعض البرمجيات الخبيثة تتضمن آليات للبقاء حتى بعد إعادة ضبط المصنع، وقد يتطلب إزالة كاملة إعادة تثبيت نظام التشغيل.

أصل الاسم “Operation NoVoice”

وجد الباحثون ملفًا باسم “novioce” يحتوي على مقطع صوت صامت يُشغّل باستمرار في الخلفية، ما يسمح للحملة بالحفاظ على عمل الخدمات الخبيثة دون كشفها للنظام، ومن هنا جاء الاسم الذي يشير إلى “الصوت الصامت”.

كيف تحمي نفسك من هذا التهديد؟

لتقليل مخاطر الإصابة بهجمات مثل Operation NoVoice، ينصح الخبراء بما يلي:

على الرغم من إزالة هذه التطبيقات من متجر قوقل بلاي حالياً، إلا أن خطر هجمات مشابهة لا يزال قائماً. اتبع الخطوات التالية:

تحديث النظام فوراً: الأجهزة المزودة بأحدث التصحيحات الأمنية محصنة ضد ثغرة “الروت” المستخدمة في هذه الحملة.

مراجعة التطبيقات: افحص قائمة تطبيقاتك؛ إذا وجدت تطبيقاً لا تتذكر تثبيته، أو تطبيقاً قمت بتحميله مؤخراً وبدأ هاتفك يتصرف بغرابة، احذفه فوراً.

تحقق من التقييمات: قبل تحميل أي تطبيق أدوات، ابحث عن اسم المطور واقرأ المراجعات السلبية، حيث غالباً ما يحذر المستخدمون من السلوكيات المشبوهة.

استخدام مضاد فيروسات موثوق: برامج الحماية (مثل McAfee) قادرة على اكتشاف هذا التهديد تحت اسم Android/NoVoice.

باختصار:

تُبرز Operation NoVoice كيف أن البرمجيات الخبيثة تتطور لتختبئ داخل تطبيقات يومية تبدو آمنة. التركيز لم يعد فقط على الدخول إلى الأجهزة، بل على الاستمرار فيها لفترات طويلة باستخدام تقنيات متقدمة مثل استغلال الثغرات الخاصة بالجهاز، المكونات الإضافية المخصصة، وآليات البقاء بعد إعادة ضبط المصنع. الحفاظ على تحديثات النظام، التحقق الدقيق من التطبيقات، واستخدام برامج حماية قوية أصبح ضرورة لتأمين الهواتف الذكية في مواجهة تهديدات اليوم.

اقرأ أيضًا: قوقل تتيح تغيير اسم Gmail بدون إنشاء حساب جديد