تعرض مستخدمو نظام التشغيل “Android” للخطر من خلال تطبيق ضار جديد يحاكي Adobe Flash Player ويعمل كنافذة وصول محتملة للعديد من أنواع البرامج الضارة. تم اكتشاف التطبيق الضار بواسطة برنامج أمان ESET (Android / TrojanDownloader.Agent.JI) ويخدع ضحاياه لمنح أذونات خاصة في قائمة الوصول على Android ، والتي تُستخدم لتنزيل برامج ضارة إضافية من اختيار المهاجمين وتطبيقها.
وفقًا لمحللي ESET ، فإن حصان طروادة الجديد يستهدف الأجهزة التي تعمل بنظام Android ، بما في ذلك أحدث إصداراته. ينتشر من خلال مواقع الويب المخترقة ، بما في ذلك الشبكات الاجتماعية. تحت ستار الإجراءات الأمنية ، يجذب الموقع المستخدمين لتنزيل تحديث مشغل فلاش وهمي جديد من “Adobe”. وإذا وقع الضحية في فخ نافذة التحديث بالمظهر الصحيح وبدأت عملية التثبيت ، فستظهر المزيد من النوافذ المزيفة.
شكل 1: نافذة تحديث مشغل الفلاش الضار
كيف يعمل حصان طروادة الجديد
بعد الانتهاء بنجاح من عملية التثبيت ، ستعرض النافذة الزائفة التالية رسالة “استخدام الكثير من الطاقة” وتحث المستخدم على تشغيل وضع “توفير شحن البطارية” الوهمي. مثل معظم النوافذ المنبثقة للبرامج الضارة ، لن تتوقف الرسالة عن الظهور حتى يمتثل الضحية للأمر ويوافق على تنشيط الخدمة ؛ ويتم الانتقال إلى قائمة الوصول في “Android” ، والتي تعرض مجموعة من الخدمات مع ميزات إمكانية الوصول. من بين الخدمات الشرعية ، تظهر خدمة جديدة (تم إنشاؤها بواسطة برامج ضارة أثناء عملية التثبيت) تسمى “Battery Saver”. تطلب الخدمة إذنًا لمراقبة إجراءات المستخدم ، وتحميل محتوى النافذة ، وتمكين اكتشاف اللمس – وهي إجراءات مهمة للنشاط الضار في المستقبل والتي تسمح للمهاجم بتقليد نقرات المستخدم واختيار ما سيتم عرضه على شاشة المستخدم.
الشكل 2: نافذة منبثقة تطالبك بتشغيل وضع توفير شحن البطارية بعد التثبيت
الشكل 3: قائمة ملائمة في “Android” مع خدمة ضارة
الشكل 4: الأذونات المطلوبة من قبل الخدمة الضارة
بمجرد تمكين الخدمة ، يختفي رمز مشغل الفلاش الوهمي للمستخدم ، لكن البرنامج الضار مشغول بالاتصال في الخلفية بخادم القيادة والتحكم (C&C) الخاص به ، مما يوفر له معلومات حول جهاز الضحية. يستجيب الخادم بعنوان URL يؤدي إلى التطبيق الضار لاختيار المجرم الإلكتروني – والذي ، حسب الحالة ، هو برنامج ضار مصرفي (على الرغم من أن أي برنامج ضار يمكن أن يتراوح من برامج إعلانية إلى برامج تجسس وبرامج فدية). بمجرد الحصول على الرابط الخبيث ، يعرض الجهاز المصاب شاشة قفل مزيفة بدون خيار قفلها ، والتي تغطي الأنشطة المستمرة للبرنامج الضار.
الشكل 5: شاشة قفل تغطي أنشطة البرامج الضارة
هذا هو المكان الذي يتم فيه تنفيذ إذن انتحال نقرات المستخدمين بسهولة – يتمتع البرنامج الضار الآن بحرية تنزيل وتثبيت وتشغيل وتنشيط حقوق مسؤول الجهاز للبرامج الضارة الأخرى دون الحاجة إلى موافقة المستخدم ، بشكل غير مرئي تحت شاشة القفل المزيفة. بمجرد اكتمال العمليات السرية ، يختفي تطبيق تراكب الشاشة الضار ويعود المستخدم لمواصلة استخدام أجهزته المحمولة – بعد أن تم اختراقها بواسطة البرامج الضارة التي تم تنزيلها.
هل جهازي مصاب؟ وكيف يمكنني تنظيفه؟
إذا اعتقد المستخدمون أنهم قاموا بتثبيت هذا التحديث المزيف لبرنامج Flash Player من قبل ، فيمكنهم تأكيده بسهولة عن طريق التحقق من خدمة Battery Saver ضمن قسم الخدمات في قائمة إمكانية الوصول. يعتبر الجهاز مخترقًا في حالة وجود هذه الخدمة. سيؤدي رفض الإذن بالخدمة إلى إعادة المستخدم إلى النافذة المنبثقة الأولى دون التخلص من البرامج الضارة Android / TrojanDownloader.Agent.JI.
لتنزيل برنامج التنزيل ، حاول إلغاء تثبيت البرنامج يدويًا بالانتقال إلى ملف [إعدادات > مدير التطبيقات > Flash-Player] باللغة العربية أو [Settings -> Application Manager -> Flash-Player] باللغة الإنجليزية.
في بعض الحالات ، سيطالب برنامج التنزيل المستخدم بتنشيط حقوق مسؤول الجهاز. في هذه الحالة ، لا يمكن للمستخدم إلغاء تثبيت التطبيق ويمكن تعطيل الحقوق الإدارية بالانتقال إلى [إعدادات > أمان > Flash-Player] باللغة العربية أو [Settings -> Security -> Flash-Player] باللغة الإنجليزية ثم تابع عملية إلغاء التثبيت.
حتى مع ذلك ، قد يظل الجهاز عرضة لعدد كبير من التطبيقات الضارة المثبتة بواسطة أداة تحميل التشغيل. لضمان نظافة جهازك ، توصي ESET باستخدام تطبيق أمان جوال حسن السمعة مثل ESET Mobile Security & Antivirus كوسيلة خالية من المتاعب لاكتشاف التهديدات وإزالتها.
كيف تحافظ على أمان جهازك
لتجنب التعامل مع عواقب البرامج الضارة للأجهزة المحمولة ، تعد الوقاية خطوة ضرورية. بالإضافة إلى التمسك بالمواقع الموثوقة ، هناك العديد من الخطوات التي يمكن للمستخدمين اتخاذها للبقاء في أمان.
عند تنزيل التطبيقات أو الترقيات من خلال متصفحك ، تحقق دائمًا من عنوان URL للتأكد من أنك قمت بتثبيته من المصدر الصحيح المقصود. في هذه الحالة بالذات ، المكان الآمن الوحيد للحصول على ترقيات Flash Player من Adobe هو موقع Adobe الرسمي.
بعد تشغيل أي شيء مثبت على جهاز محمول ، كن على دراية بالأذونات والحقوق التي يطلبها ، وقبل التحقق والتأكد ، تجنب منح الأذونات التي لا تبدو مناسبة لوظائف التطبيق.
أخيرًا ، عندما يفشل كل شيء آخر ، يلعب حل أمان الأجهزة المحمولة حسن السمعة دورًا مهمًا في حماية جهازك من جميع التهديدات النشطة.