أعطت Google التمهيد لتسعة تطبيقات Android تم تنزيلها أكثر من 5.8 مليون مرة من متجر Play للشركة بعد أن قال الباحثون إن هذه التطبيقات تستخدم طريقة مخادعة لسرقة بيانات إعتماد تسجيل دخول المستخدمين على Facebook.
في محاولة لكسب ثقة المستخدمين وتقليل حذرهم ، قدمت التطبيقات خدمات تعمل بكامل طاقتها لتحرير الصور وتأطيرها ، والتمرين والتدريب ، والأبراج ، وإزالة الملفات غير المرغوب فيها من أجهزة Android ، وفقاً لما نشرته شركة الأمن د. الويب. قدمت جميع التطبيقات المحددة للمستخدمين خياراً لتعطيل الإعلانات داخل التطبيق عن طريق تسجيل الدخول إلى حساباتهم على Facebook. شاهد المستخدمون الذين اختاروا هذا الخيار نموذجاً أصلياً لتسجيل الدخول إلى Facebook يحتوي على حقول لإدخال أسماء المستخدمين وكلمات المرور.
إستخدمت أحصنة طروادة آلية خاصة لخداع ضحاياهم. بعد تلقي الإعدادات اللازمة من أحد خوادم القيادة والتحكم عند التشغيل ، قاموا بتحميل صفحة الويب الشرعية على Facebook https://www.facebook.com/login.php في WebView. بعد ذلك ، قاموا بتحميل JavaScript المستلم من خادم القيادة والتحكم في نفس WebView. تم إستخدام هذا البرنامج النصي مباشرة لاختطاف بيانات إعتماد تسجيل الدخول التي تم إدخالها. بعد ذلك ، قامت JavaScript هذه ، باستخدام الطرق المقدمة من خلال التعليق التوضيحي لـ JavascriptInterface ، بتمرير تسجيل الدخول وكلمة المرور المسروقين إلى تطبيقات طروادة ، والتي تنقل البيانات بعد ذلك إلى خادم القيادة والسيطرة للمهاجمين. بعد أن قامت الضحية بتسجيل الدخول إلى حسابها ، قامت أحصنة طروادة أيضاً بسرقة ملفات تعريف الإرتباط من جلسة التفويض الحالية. تم إرسال ملفات تعريف الإرتباط هذه أيضاً إلى مجرمي الإنترنت.
أظهر تحليل البرامج الخبيثة أنهم جميعاً تلقوا إعدادات لسرقة عمليات تسجيل الدخول وكلمات المرور الخاصة بحسابات Facebook. ومع ذلك ، كان بإمكان المهاجمين تغيير إعدادات أحصنة طروادة بسهولة وأمرهم بتحميل صفحة الويب الخاصة بخدمة شرعية أخرى. كان بإمكانهم إستخدام نموذج تسجيل دخول مزيف تماماً موجود في أحد مواقع التصيد الإحتيالي. وبالتالي ، كان من الممكن إستخدام أحصنة طروادة لسرقة تسجيلات الدخول وكلمات المرور من أي خدمة.
حدد الباحثون خمسة أنواع مختلفة من البرامج الضارة مخبأة داخل التطبيقات. ثلاثة منهم كانت تطبيقات Android أصلية ، واستخدم الإثنان الآخران إطار عمل Flutter من Google ، المصمم للتوافق عبر الأنظمة الأساسية. قال الدكتور ويب أنه يصنفهم جميعاً على أنهم نفس حصان طروادة لأنهم يستخدمون تنسيقات ملفات تكوين متطابقة ورمز جافا سكريبت متطابق لسرقة بيانات المستخدم.
حدد الدكتور ويب المتغيرات على النحو التالي:
- Android.PWS.Facebook.13
- Android.PWS.Facebook.14
- Android.PWS.Facebook.15
- Android.PWS.Facebook 17
- Android.PWS.Facebook 18
كانت غالبية التنزيلات لتطبيق يسمى PIP Photo ، والذي تم الوصول إليه أكثر من 5.8 مليون مرة. كان التطبيق الذي حقق أكبر مدى وصول هو معالجة الصور ، مع أكثر من 500000 عملية تنزيل. التطبيقات المتبقية كانت:
- Rubbish Cleaner : أكثر من 100،000 عملية تنزيل
- Inwell Fitness : أكثر من 100،000 تنزيل
- Horoscope Daily : أكثر من 100،000 عملية تنزيل
- App Lock Keep : أكثر من 50000 تنزيل
- Lockit Master : أكثر من 5000 تنزيل
- Horoscope Pi : وصول إلى 1,000 تنزيل
- App Lock Manager : وصول إلى 10 تنزيلات
يُظهر البحث في Google Play أنه قد تمت إزالة جميع التطبيقات من Play. قال متحدث باسم Google إن الشركة حظرت أيضاً مطوري جميع التطبيقات التسعة من المتجر ، مما يعني أنه لن يُسمح لهم بتقديم تطبيقات جديدة. هذا هو الشيء الصحيح الذي يجب أن تفعله Google ، لكنه مع ذلك لا يشكل سوى الحد الأدنى من العوائق أمام المطورين لأنهم يستطيعون ببساطة الإشتراك في حساب مطور جديد تحت إسم مختلف مقابل رسوم لمرة واحدة قدرها 25 دولاراً.
ملاحضة هامة:
يجب على أي شخص قام بتنزيل أحد التطبيقات المذكورة أعلاه أن يفحص بدقة أجهزته وحساباته على Facebook بحثاً عن أي علامات على الإختراق. إن تنزيل تطبيق مضاد فيروسات Android مجاني من شركة أمان معروفة والمسح بحثاً عن تطبيقات ضارة إضافية ليس فكرة سيئة أيضاً.
