أخنوش يستقبل بنعليلو لبحث سبل إعطاء نفس جديد لورش مكافحة الفساد بالمغرب    الملك محمد السادس يستقبل أبطال العالم بالقصر الملكي بالرباط    مشروع قانون مالية 2026 .. إحداث أزيد من 36 ألف منصب شغل بالادارات    الممثل عبد القادر مطاع يودع الدنيا عن 85 سنة    المغرب: عجز ميزانية متوقع في حدود 3 في المائة من الناتج الداخلي الخام سنة 2026 (تقرير)    تقرير برلماني: ربع المغاربة ما زالوا أميين رغم تعدد البرامج الحكومية لمحاربة الأمية    الأجوبة المؤسساتية للمطالب الاجتماعية: من مطالب جيل زيد إلى طاولة المجلس الوزاري    رحيل قامة فنية مغربية: عبد القادر مطاع في ذمة الله    المنتخب المغربي لكرة القدم داخل القاعة يتعادل ودّيا مع نظيره الاسباني (3-3 )    ريال مدريد "منبهر" بعثمان معما.. ويواصل متابعة موسمه مع واتفورد    الحكومة توسع رهاناتها على "التمويل المبتكر" لتعبئة موارد الميزانية رغم تحذيرات سابقة من المخاطر طويلة الأمد    35 قتيلا و3444 جريحا حصيلة حوادث السير بالمناطق الحضرية خلال الأسبوع الماضي    الصحراء المغربية.. بولونيا تعتبر مخطط الحكم الذاتي بمثابة "الأساس الجاد والواقعي والبراغماتي من أجل تسوية دائمة"    الملحمة الأوروبية تعود من جديد : ريال مدريد ويوفنتوس يشعلان المنافسة الأسطورية لعشّاق الكرة في المغرب    عبد اللطيف لوديي ومحمد بريظ يستقبلان قائد القيادة الأمريكية لإفريقيا «أفريكوم»    أي اتحاد نريد…. وأي اتحاد يريدون؟    إدريس لشكر… قائد التجديد وواضع أسس المستقبل الاتحادي    ارتفاع ليالي المبيت السياحي بالصويرة    ارتفاع حرارة الأرض يعيد تشكيل خريطة الأمطار في إفريقيا خلال العقود القادمة    أكد أنه سيواصل الكشف عن التحامل ضده .. نيكولا ساركوزي يدخل السجن في سابقة بفرنسا    أشادت بولونيا ب"الإصلاحات العديدة، الطموحة"، التي يتم تنفيذها في المغرب تحت قيادة صاحب الجلالة الملك محمد السادس، نصره الله    الأخضر يغلق تداولات بورصة البيضاء    بعد تسجيل مستويات قياسية.. الذهب يشهد أسرع تراجع منذ سنوات    ندوة تبرز الاحتفاء القرآني بالرسول    ترويج الكوكايين يطيح بشخصين في تطوان    بين الأعلام والمطالب.. الجيل الذي انتصر في الملعب واتُّهم في الشارع    رابطة ترفض "إقصاء الفيلم الأمازيغي"    بين "أوتيستو" و"طريق السلامة" .. المهرجان الوطني للفيلم يستقبل الهامش    أبطال الجاليات العربية يخوضون نهائيات الدورة التاسعة من "تحدي القراءة"    رئيس المخابرات المصرية يلتقي نتانياهو في القدس وبرنامج الأغذية العالمي يدعو إلى فتح كل المعابر ل"إنقاذ أرواح"    علماء يصلون إلى حمض أميني مسبب للاكتئاب    المغرب يرفع "ميزانية الدفاع" إلى 157 مليار درهم    توقعات أحوال الطقس ليوم غد الأربعاء    "لارام" تدشن خطا مباشرا بين الدار البيضاء وميونيخ    كنزة الغالي.. سفيرة بروح وطنية عالية تجسد الوجه المشرق للمغرب في الشيلي    الأمين العام لجامعة الدول العربية: فوز المغرب بكأس العالم لكرة القدم لأقل من 20 سنة إنجاز يستحق الإشادة والتقدير    بعد التتويج بكأس العالم.. هل خسر المغرب موهبة القرن أم ربح مشروعاً يصنع الأبطال؟    رياضي سابق يفارق الحياة في مقر أمني بأمريكا    إسرائيل تؤكد تسلم جثة ضابط صف    تاكايشي أول رئيسة للوزراء باليابان    المغاربة يترقبون ممراً شرفياً لكأس العالم للشباب في الرباط...    عاجل.. استقبال شعبي وملكي اليوم للمنتخب المغربي بعد إنجازه التاريخي في الشيلي    القصر الكبير : حجز أزيد من 30 كيلوغراما من مادة محظورة داخل مرايا معدة للتصدير    كيوسك الثلاثاء | مشروع قانون المالية لسنة 2026 يكشف عن خطة الحكومة للتشغيل    تمديد آجال الترشيح للجائزة الوطنية الكبرى للصحافة    تمديد آجال الترشيح للجائزة الوطنية الكبرى للصحافة    السكوري: نظام التكوين بالتدرج المهني مكن من توفير 39 ألف منصب شغل خلال شهري غشت وشتنبر    الصين تدعو الولايات المتحدة لحل الخلافات التجارية عبر الحوار    المعادن النادرة ورقة ضغط بخصائص صينية ...    عن أي سلام يتحدثون؟    أونسا: استعمال "مضافات الجبن" سليم    ساعة أمام الشاشة يوميًا تخفض فرص التفوق الدراسي بنسبة 10 بالمائة    مواقع التواصل الاجتماعي تفسد أدمغة الأطفال وتضر بشكل خاص بذاكرتهم ومفرداتهم اللغوية    دراسة: مواقع التواصل الاجتماعي تفسد أدمغة الأطفال وتضر بشكل خاص بذاكرتهم ومفرداتهم اللغوية    العِبرة من مِحن خير أمة..    حفظ الله غزة وأهلها    الأوقاف تعلن موضوع خطبة الجمعة    رواد مسجد أنس ابن مالك يستقبلون الامام الجديد، غير متناسين الامام السابق عبد الله المجريسي    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



فيروسات تستغل متجرغوغل بلاي لتنفيذ هجماتها
كش24 نشر في كشـ24 يوم 11 - 10 - 2017

كشفت شركة “آسيت” (Eset) أن موجة جديدة من برمجيات حصان طروادة الخطيرة المتخصصة بسرقة الحسابات المصرفية والعاملة على نظام التشغيل أندرويد نجحت مجدداً في الدخول إلى متجر غوغل بلاي مسلحةً بأساليب وتقنيات جديدة، وذلك بعد أن حذرت الشركة من خطورة هذه البرمجيات في بداية هذا العام.
وقالت الشركة المتخصصة في أمن المعلومات أن البرمجية الخبيثة المسماة “بانكبوت” (BankBot) قد واصلت تطورها خلال العام الحالي لتظهر بأشكال ونسخ مختلفة داخل متجر غوغل بلاي وخارجه.
وأضافت الشركة السلوفاكية، أن النمط الجديد من حصان طروادة والذي اكتشفته في المتجر بتاريخ 4 سبتمبر (أيلول) يعد أولى تلك البرمجيات الخبيثة التي تدمج أحدث خطوات تطور برمجية “دوبت بانكبوت” بشكل ناجح؛ إذ تم تحسين أنماط تشفير البيانات، وتعزيز دقة تفريغ حمولة البيانات، إلى جانب الاستعانة بتقنيات ماكرة لنقل البرمجيات عبر استغلال صلاحيات الوصول في نظام تشغيل أندرويد.
وذكرت “اسيت” أن حالات استغلال صلاحيات الوصول لنظام تشغيل أندرويد باستخدام عدد من برمجيات حصان طروادة سُجلَّت خارج متجر غوغل بلاي في معظم الأحيان. وأكدت التحليلات التي صدرت حديثًا عن شركتي “إس فاي لابس” (SfyLabs) و “زد سكيلر” (Zscaler)، أن قراصنة الإنترنت الذين يعملون على نشر “بانكبوت” قد نجحوا في رفع التطبيق من خلال استغلال صلاحيات الوصول الخاصة بمتجر غوغل بلاي، من دون تضمينه حمولة بيانات البرمجيات الخبيثة الخاصة بالسرقات المصرفية.
ويتمثل حل هذا اللغز في أن حمولة بيانات البرمجية الخبيثة قد تمكنت من الانسلال متجر غوغل بلاي بشكل لعبة تحمل اسم “جويلز ستار كلاسيك” Jewels Star Classic (وتجدر الإشارة هنا إلى أن القراصنة أساؤوا استخدام الاسم الشهير لإحدى منصات الألعاب المشروعة “جويلز ستار” (Jewels Star) المطورة من قبل شركة “آي تري غيمر” (ITREEGAMER) والتي لا ترتبط على الإطلاق بهذه الهجمة البرمجية الخبيثة).
وقالت شركة “اسيت” إنها قامت بإبلاغ الفريق الأمني لشركة غوغل بشأن هذا التطبيق الخبيث، والذي تم تنزيله من قبل نحو 5 آلاف مستخدم قبل أن يقوم المتجر بإزالته.
كيف تعمل هذه البرمجية الخبيثة؟
أوضحت الشركة أنه حينما يقوم المستخدم غير المنتبه بتنزيل لعبة “جويلز ستار كلاسيك” – المطوّرة من قبل “غيمدف توني” (GameDevTony)، فإنه يحصل على لعبة يمكن تشغيلها على نظام أندرويد. وباستخدام بعض الإضافات المخفية، يمكن للقرصان تشغيل حمولة البيانات الخبيثة الكامنة داخل اللعبة، إلى جانب خدمة خبيثة يتم تفعيلها بعد مهلة معينة تم تحديد مدتها خلال وقت سابق.
ويتم تشغيل الخدمة الخبيثة بعد مرور 20 دقيقة على التشغيل الأول للعبة “جويلز ستار كلاسيك”. وبعدها يقوم الجهاز المصاب بالبرمجية الخبيثة بعرض تنبيه يطالب المستخدم بتمكين خدمة تحمل اسم “خدمة غوغل” (Google Service) (ملاحظة: يظهر التنبيه بشكل مستقل عن النشاط الحالي للمستخدم، ودون أي علاقة ظاهرة له مع اللعبة).
وبعد ضغط المستخدم على خيار موافق، والذي يمثل السبيل الوحيد لمنع التنبيه من الظهور مجدداً، ينتقل المستخدم تلقائياً إلى قائمة الوصول الخاصة بنظام أندرويد، حيث تتم إدارة صلاحيات الوصول في النظام. وتظهر بين مجموعة الخدمات المشروعة خدمة جديدة تسمى “خدمة غوغل” التي أنشأتها البرمجية الخبيثة. ومن خلال الضغط على هذه الخدمة يتم عرض وصف مأخوذ عن اتفاقية “شروط استخدام الخدمة” الخاصة بشركة غوغل.
ومن الناحية العملية وبعد الموافقة على منح الصلاحيات، يتم منع وصول المستخدم لفترة قصيرة إلى شاشة جهازه المحمول ريثما تتم “ترقية خدمة غوغل” (Google service update) – وتجدر الإشارة هنا أن غوغل لا تتولى إدارة هذه العملية.
وتستخدم البرمجية الخبيثة هذه الواجهة على الشاشة للتغطية على خطواتها التالية، وتفعيل العمليات نيابة عن المستخدم من خلال الاستعانة بأذونات الوصول التي حصلت عليها البرمجية الخبيثة خلال وقت سابق. وبينما ينتظر المستخدم انتهاء تحميل الترقية الوهمية، تقوم البرمجية الخبيثة بتنفيذ عدد من العمليات.
ومن تلك العمليات السماح بتحميل التطبيقات من مصادر مجهولة، وتثبيت برمجية “بانكبوت” الخبيثة من مصدرها وتفعيلها، وتفعيل “بانكبوت” كمسؤول إدارة الجهاز، وتعيين “بانكبوت” كتطبيق افتراضي للرسائل القصيرة، والحصول على أذونات لتحميل المزيد من التطبيقات الأخرى.
وبعد نجاحها في تنفيذ هذه العمليات، يصبح بإمكان البرمجية الخبيثة البدء بالعمل على تحقيق هدفها التالي والمتمثل بسرقة معلومات بطاقة الائتمان الخاصة بالمستخدم. وبعكس برمجيات “بانكبوت” الأخرى التي تستهدف مجموعة واسعة من التطبيقات المصرفية المحددة والتي تنتحل أشكالها بهدف الحصول على بيانات الاعتماد الخاصة بالدخول إلى الحسابات المصرفية، ينصب تركيز هذه البرمجية بشكل أساسي على تطبيق غوغل بلاي المثبت على جميع الأجهزة العاملة بنظام تشغيل أندرويد.
وعندما يقوم المستخدم بتشغيل تطبيق غوغل بلاي، تتدخل برمجية “بانكبوت” لتكتسي بالطابع الشرعي للتطبيق وتستخدم نموذجاً مزيفاً منه لطلب معلومات بطاقة الائتمان الخاصة بالمستخدم.

انقر هنا لقراءة الخبر من مصدره.