يستخدم فاعلو التهديدات تقنية تسمى الإصدار للتحايل على اكتشافات البرامج الضارة في متجر Google Play واستهداف مستخدمي Android. تطبيقات ضارة لمتجر Play
قال فريق عمل Google للأمن السيبراني (GCAT) في تقريره عن آفاق التهديدات في أغسطس 2023 الذي تم مشاركته مع The Hacker News: “تستهدف الحملات التي تستخدم الإصدار بشكل شائع بيانات اعتماد المستخدمين وبياناتهم وأموالهم.”
على الرغم من أن الإصدار ليس ظاهرة جديدة. إلا أنه خبيث ويصعب اكتشافه. في هذه الطريقة. يطلق المطور إصدارًا أوليًا من تطبيق على متجر Play يمر بفحص Google قبل النشر. ولكن يتم تحديثه لاحقًا بعنصر برنامج ضار.
يتم تحقيق ذلك عن طريق دفع تحديث من خادم تحكم المهاجم لخدمة رمز ضار على جهاز المستخدم النهائي باستخدام طريقة تسمى تحميل الكود الديناميكي (DCL). مما يحول التطبيق إلى backdoor.
في وقت سابق من هذا مايو. اكتشفت ESET تطبيق تسجيل الشاشة “iRecorder – Screen Recorder” الذي ظل غير ضار لمدة عام تقريبًا بعد تحميله لأول مرة على متجر Play قبل إدخال تغييرات ضارة للتجسس سريًا على مستخدميه.
مثال آخر على البرامج الضارة التي تستخدم طريقة DCL هو SharkBot. والذي ظهر مرارًا وتكرارًا في متجر Play متخفيًا في تطبيقات الأمان والأدوات.
SharkBot هو حصان طروادة مالي ي Initiates تحويلات مالية غير مصرح بها من الأجهزة المصابة باستخدام بروتوكول Automated Transfer Service (ATS).
تظهر تطبيقات dropper التي تظهر في المتجر بوظائف محدودة والتي. بمجرد تثبيتها من قبل الضحايا. تقوم بتنزيل إصدار كامل من البرامج الضارة في محاولة لجذب أقل قدر من الاهتمام.
“في بيئة المؤسسات. يُظهر الإصدار الحاجة إلى مبادئ الدفاع من العمق. بما في ذلك على سبيل المثال لا الحصر تقييد مصادر تثبيت التطبيقات إلى مصادر موثوقة مثل Google Play أو إدارة الأجهزة المؤسسية من خلال MDM (Mobile Device Management) منصة.” قالت الشركة.
تطبيقات ضارة لمتجر Play
تأتي هذه النتائج في الوقت الذي كشفت فيه ThreatFabric أن تجار البرامج الضارة قد استغلوا bug في Android لتمرير البرامج الضارة على أنها حسنة النية عن طريق “إفساد مكونات التطبيق” بحيث يظل التطبيق ككل صالحًا. وفقًا لـ KrebsOnSecurity.
من ناحية أخرى. يمكن للجهات الفاعلة أن يكون لها العديد من التطبيقات المنشورة في المتجر في نفس الوقت تحت حسابات مطور مختلفة. ومع ذلك ، فإن أحدها يعمل كضار. بينما الآخر هو احتياطي لاستخدامه بعد الإزالة.” لاحظت الشركة الهولندية للأمن السيبراني في يونيو.
“مثل هذه التكتيكات تساعد الجهات الفاعلة في الحفاظ على حملات طويلة جدًا. مما يقلل من الوقت اللازم لنشر dropper آخر ومواصلة حملة التوزيع.” تطبيقات ضارة لمتجر Play
للتخفيف من أي مخاطر محتملة. كما يوصى ب أن يلتزم مستخدمو Android بمصادر موثوقة لتنزيل التطبيقات و enable Google Play Protect لتلقي إشعارات عندما يتم العثور على تطبيق ضار محتمل (PHA) على الجهاز.