مغرس : "آسيت": فيروسات خطيرة لسرقة الأموال تستغل متجر غوغل بلاي لتنفيذ هجماتها

توقعات أحوال الطقس ليوم غد الأحد لبؤات الأطلس يقتحمن المركز 63 عالميا ويقفزن للمربع الذهبي إفريقيا في تصنيف "فيفا" صوت المرأة المملكة المتحدة.. تكريم العالم المغربي ميمون عزوز نظير إسهاماته البارزة في مجال العلاج الجيني مجلس النواب يخطط لمناقشة تقارير "المجموعات المؤقتة" قبل نهاية الولاية تراجع الإقبال يدفع "لارام" إلى إعادة تقييم الرحلات نحو الدوحة ودبي آلام مرضى تزيد بسبب "انقطاع دواء" قيمة "مازي" تزيد 5,32% في أسبوع "هدنة عيد الفصح" توقف إطلاق النار بين روسيا وأوكرانيا ل32 ساعة سقوط مفاجئ لأرسنال المتصدر أمام ضيفه بورنموث الدريوش: الأسماك المجمدة ساهمت في حصول المغاربة على المنتجات البحرية خلال رمضان "الكونفدرالية": نجاح الحوار الاجتماعي مرتبط بالزيادة في الأجور والمعاشات وتخفيف العبء الضريبي على الأجراء نشرة خاصة: زغات رعدية مع تساقط البرد والثلوج ورياح عاصفية السبت والأحد بعدد من مناطق المغرب حزب الاستقلال في لقاء تواصلي مع مناضلات ومناضلي الحزب ببني ملال إطلاق الملتقى الوطني الأول للواحات بزاكورة وتوقيع اتفاقيات تنموية بمئات الملايين من الدراهم صحيفة "آس": ريال مدريد يقطع علاقاته مع الاتحاد الإسباني ويشكك في نزاهة المنافسة المغرب يقوي تكوين مدراء أندية التنس الحالة الصحية لمجتبى خامنئي المرشد العام لإيران لا تزال "حرجة" بعد اصابته بتشوهات في الوجه وبجروح في ساقيه القنصلية المغربية بالجزائر تؤازر أولمبيك آسفي مسؤولون محليون يتابعون تقدم مشروع مركز لإيواء الحيوانات الضالة في سوس بكلفة 26 مليون درهم سهام بنك يعمم مجانية التحويلات العادية والفورية العرائش: توقيف مروج للأقراص المهلوسة بالمدينة العتيقة وحجز كمية من المخدرات القوية أحزاب مُسَخَّرَة لحساب مَسْخًرًة دار الشعر بتطوان تختتم عيد الكتاب بين الرباط ومدريد: ذاكرة تاريخٍ مثقل بالوعد والظل من الاستعمار إلى دبلوماسية المصالح بيوت تعرض "كرامة مؤقتة" في غزة طاقم "أرتميس 2" يعود إلى الأرض بعد رحلة 10 أيام حول القمر باكستان ترحب بوفدَي أمريكا وإيران "الكورفاشي" تدعو الجماهير إلى "الانضباط والتشجيع الموحد" قبل مواجهة نهضة بركان هل سيحضر سواريز المونديال مع الأوروغواي؟ ماليون بالمغرب يثمنون موقف باماكو وفدا أمريكا وإيران يصلان باكستان لإجراء محادثات سلام قضايا خلافية رئيسية تلقي بظلالها على المفاوضات الأميركية الإيرانية في باكستان نزاع عائلي حول الأرض ينتهي بجريمة قتل بشعة بتازة اجتماع تنسيقي لتتبع إعادة تأهيل المناطق المتضررة من الفيضانات بحوض طاطا محامية تكشف تفاصيل زيارة إنسانية لمعتقلي حراك الريف بسجن طنجة جهة الشمال .. المصادقة على 487 مشروعا باستثمار يناهز 80 مليار درهم ستوفِرُ 57 ألف منصب شغل العثور على رضيعة حديثة الولادة متخلى عنها قرب قاعة للحفلات غير بعيد عن مستشفى محمد الخامس بطنجة بوريطة يستقبل مبعوثا لرئيس جمهورية الكونغو الديمقراطية حاملا رسالة إلى جلالة الملك شتائم ترامب لإيران تنعش مطالب "الديمقراطيين" بتفعيل العزل الدستوري الأداء الإيجابي ينهي تداولات بورصة الدار البيضاء فعاليات اليوم الأول من الزيارة الرسمية لوفد جماعة القصر الكبير إلى مدينة لاغوس البرتغالية موعد ملكي: 8 سنوات للوصول إلى مغرب السرعة الواحدة! حين تحكم الجراح.. السياسة في مرآة المشاعر تفاصيل اختتام الملتقى الروائي الأمازيغي بالرباط اليونسكو تختار الرباط عاصمة عالمية للكتاب انطلاق عرض "نوستالجيا: صدى الأسوار" في ليكسوس بالعرائش الجزائري سعيد خطيبي يتوج بجائزة "البوكر العربية" عن روايته "أغالب مجرى النهر" "حماة المستهلك" يطالبون بمنع بيع مشروبات الطاقة للقاصرين وفي محيط المدارس الكشف عن مخطوطة تاريخية نادرة تعود للقرن الرابع الهجري بالسعودية الوكالة المغربية للأدوية تحذر من مكملات شائعة للتنحيف قد تسبب اضطرابات خطيرة المدرسة العتيقة تافراوت المولود تنظم ندوة علمية وطنية تحت عنوان " السيرة النبوية منهج متكامل لبناء الإنسان وتشييد العمران " دراسة: الذكاء الاصطناعي يشخص سرطان الحنجرة فتح فترة استثنائية جديدة لاستخلاص المبلغ الزائد من مصاريف الحج لموسم 1447 ه من 06 إلى 16 أبريل فتح فترة استثنائية جديدة لاستخلاص المبلغ الزائد من مصاريف الحج لموسم 1447 فتح فترة استثنائية جديدة لاستخلاص المبلغ الزائد من مصاريف الحج

شكرا على الإبلاغ!

سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.

"آسيت": فيروسات خطيرة لسرقة الأموال تستغل متجر غوغل بلاي لتنفيذ هجماتها

أخبارنا نشر في أخبارنا يوم 29 - 09 - 2017

كشفت شركة "آسيت" (Eset) أن موجة جديدة من برمجيات حصان طروادة الخطيرة المتخصصة بسرقة الحسابات المصرفية والعاملة على نظام التشغيل أندرويد نجحت مجدداً في الدخول إلى متجر غوغل بلاي مسلحةً بأساليب وتقنيات جديدة، وذلك بعد أن حذرت الشركة من خطورة هذه البرمجيات في بداية هذا العام.
وقالت الشركة المتخصصة في أمن المعلومات أن البرمجية الخبيثة المسماة "بانكبوت" (BankBot) قد واصلت تطورها خلال العام الحالي لتظهر بأشكال ونسخ مختلفة داخل متجر غوغل بلاي وخارجه.
وأضافت الشركة السلوفاكية، أن النمط الجديد من حصان طروادة والذي اكتشفته في المتجر بتاريخ 4 سبتمبر (أيلول) يعد أولى تلك البرمجيات الخبيثة التي تدمج أحدث خطوات تطور برمجية "دوبت بانكبوت" بشكل ناجح؛ إذ تم تحسين أنماط تشفير البيانات، وتعزيز دقة تفريغ حمولة البيانات، إلى جانب الاستعانة بتقنيات ماكرة لنقل البرمجيات عبر استغلال صلاحيات الوصول في نظام تشغيل أندرويد.
وذكرت "اسيت" أن حالات استغلال صلاحيات الوصول لنظام تشغيل أندرويد باستخدام عدد من برمجيات حصان طروادة سُجلَّت خارج متجر غوغل بلاي في معظم الأحيان. وأكدت التحليلات التي صدرت حديثًا عن شركتي "إس فاي لابس" (SfyLabs) و "زد سكيلر" (Zscaler)، أن قراصنة الإنترنت الذين يعملون على نشر "بانكبوت" قد نجحوا في رفع التطبيق من خلال استغلال صلاحيات الوصول الخاصة بمتجر غوغل بلاي، من دون تضمينه حمولة بيانات البرمجيات الخبيثة الخاصة بالسرقات المصرفية.
ويتمثل حل هذا اللغز في أن حمولة بيانات البرمجية الخبيثة قد تمكنت من الانسلال متجر غوغل بلاي بشكل لعبة تحمل اسم "جويلز ستار كلاسيك" Jewels Star Classic (وتجدر الإشارة هنا إلى أن القراصنة أساؤوا استخدام الاسم الشهير لإحدى منصات الألعاب المشروعة "جويلز ستار" (Jewels Star) المطورة من قبل شركة "آي تري غيمر" (ITREEGAMER) والتي لا ترتبط على الإطلاق بهذه الهجمة البرمجية الخبيثة).
وقالت شركة "اسيت" إنها قامت بإبلاغ الفريق الأمني لشركة غوغل بشأن هذا التطبيق الخبيث، والذي تم تنزيله من قبل نحو 5 آلاف مستخدم قبل أن يقوم المتجر بإزالته.
كيف تعمل هذه البرمجية الخبيثة؟
أوضحت الشركة أنه حينما يقوم المستخدم غير المنتبه بتنزيل لعبة "جويلز ستار كلاسيك" – المطوّرة من قبل "غيمدف توني" (GameDevTony)، فإنه يحصل على لعبة يمكن تشغيلها على نظام أندرويد. وباستخدام بعض الإضافات المخفية، يمكن للقرصان تشغيل حمولة البيانات الخبيثة الكامنة داخل اللعبة، إلى جانب خدمة خبيثة يتم تفعيلها بعد مهلة معينة تم تحديد مدتها خلال وقت سابق.
ويتم تشغيل الخدمة الخبيثة بعد مرور 20 دقيقة على التشغيل الأول للعبة "جويلز ستار كلاسيك". وبعدها يقوم الجهاز المصاب بالبرمجية الخبيثة بعرض تنبيه يطالب المستخدم بتمكين خدمة تحمل اسم "خدمة غوغل" (Google Service) (ملاحظة: يظهر التنبيه بشكل مستقل عن النشاط الحالي للمستخدم، ودون أي علاقة ظاهرة له مع اللعبة).
وبعد ضغط المستخدم على خيار موافق، والذي يمثل السبيل الوحيد لمنع التنبيه من الظهور مجدداً، ينتقل المستخدم تلقائياً إلى قائمة الوصول الخاصة بنظام أندرويد، حيث تتم إدارة صلاحيات الوصول في النظام. وتظهر بين مجموعة الخدمات المشروعة خدمة جديدة تسمى "خدمة غوغل" التي أنشأتها البرمجية الخبيثة. ومن خلال الضغط على هذه الخدمة يتم عرض وصف مأخوذ عن اتفاقية "شروط استخدام الخدمة" الخاصة بشركة غوغل.
ومن الناحية العملية وبعد الموافقة على منح الصلاحيات، يتم منع وصول المستخدم لفترة قصيرة إلى شاشة جهازه المحمول ريثما تتم "ترقية خدمة غوغل" (Google service update) – وتجدر الإشارة هنا أن غوغل لا تتولى إدارة هذه العملية.
وتستخدم البرمجية الخبيثة هذه الواجهة على الشاشة للتغطية على خطواتها التالية، وتفعيل العمليات نيابة عن المستخدم من خلال الاستعانة بأذونات الوصول التي حصلت عليها البرمجية الخبيثة خلال وقت سابق. وبينما ينتظر المستخدم انتهاء تحميل الترقية الوهمية، تقوم البرمجية الخبيثة بتنفيذ عدد من العمليات.
ومن تلك العمليات السماح بتحميل التطبيقات من مصادر مجهولة، وتثبيت برمجية "بانكبوت" الخبيثة من مصدرها وتفعيلها، وتفعيل "بانكبوت" كمسؤول إدارة الجهاز، وتعيين "بانكبوت" كتطبيق افتراضي للرسائل القصيرة، والحصول على أذونات لتحميل المزيد من التطبيقات الأخرى.
وبعد نجاحها في تنفيذ هذه العمليات، يصبح بإمكان البرمجية الخبيثة البدء بالعمل على تحقيق هدفها التالي والمتمثل بسرقة معلومات بطاقة الائتمان الخاصة بالمستخدم. وبعكس برمجيات "بانكبوت" الأخرى التي تستهدف مجموعة واسعة من التطبيقات المصرفية المحددة والتي تنتحل أشكالها بهدف الحصول على بيانات الاعتماد الخاصة بالدخول إلى الحسابات المصرفية، ينصب تركيز هذه البرمجية بشكل أساسي على تطبيق غوغل بلاي المثبت على جميع الأجهزة العاملة بنظام تشغيل أندرويد.
وعندما يقوم المستخدم بتشغيل تطبيق غوغل بلاي، تتدخل برمجية "بانكبوت" لتكتسي بالطابع الشرعي للتطبيق وتستخدم نموذجاً مزيفاً منه لطلب معلومات بطاقة الائتمان الخاصة بالمستخدم.

انقر هنا لقراءة الخبر من مصدره.