بدء الأشغال لإنجاز مشروع القطار فائق السرعة القنيطرة–مراكش    الولايات المتحدة.. قاض فدرالي يعتبر نشر عناصر من الجيش في كاليفورنيا "غير قانوني"    كرة القدم .. حفل تكريمي على شرف المنتخب الوطني للاعبين المحليين المتوج بلقب بطولة إفريقيا    مجلس جماعة الدار البيضاء يصادق على اتفاقية شراكة لتسريع إنجاز مشروع المحج الملكي    حوادث السير تودي بحياة 24 شخصا في أسبوع    عبد اللطيف الجواهري ضمن أفضل محافظي البنوك المركزية في العالم    إصابة 12 شخصًا في حادث سير خطير بمدخل سبت الزينات على الطريق بين طنجة وتطوان    250 درهم عن كل يوم.. ابتدائية الدريوش تصدر أولى أحكامها البديلة    بريطانيا.. اختبار جديد قد يساعد في الكشف المبكر عن مؤشرات الإصابة بمرض الزهايمر    المنتخب المغربي لأقل من 20 سنة يستعد للمونديال بمواجهتين وديتين أمام أمريكا    أخبار الساحة    المجلس الوطني للمنافسة يؤشر على استحواذ "Ports4Impact" على شركة نادي الرجاء الرياضي    تقرير: كلفة خلق منصب شغل في بعض المشاريع الصناعية الكبرى تتجاوز نصف مليون درهم    – كيف كتبت لوموند «تحقيقها»؟ لمن كتبته؟    طنجة : ارتفاع طفيف للرقم الاستدلالي للأثمان عند الاستهلاك في يوليوز 2025    أثافي الشعرية الأمازيغية من خلال كتاب «الشعرية الأمازيغية الحديثة» للناقد الأمازيغي مبارك أباعزي    الدورة الثانية لمهرجان «سينما الشاطئ» تحط الرحال بالصويرة    الدورة ال 25 من «ملتقى الشارقة الدولي للراوي» ما بين 22 و26 شتنبر الجاري بمشاركة المغرب    المنتخب المغربي يواصل استعداداته لمواجهة النيجر    وادو يتعرض لحادث سير خطير رفقة أفراد من طاقمه في جنوب إفريقيا    "الحر" يطلق جديده الفني "صرا لي صرا"    توقعات أحوال الطقس ليوم غد الأربعاء    مباريات موحدة لذوي الإعاقة تفتح 200 منصب في 19 وزارة    مارسيليا يضم المغربي نايف أكرد من وست هام في صفقة ب23 مليون يورو            إسرائيل تستعد لهجوم شامل على غزة    تصريحات عنصرية في حق اهل الريف تثير استنكاراً واسعاً ومطالب بفتح تحقيق        المغرب يرسخ حضوره الإفريقي بزيارة برلمانية كينية رفيعة.. من الرباط إلى الصحراء المغربية    المغرب يواصل الصعود بينما الجزائر تَتَداعَى نحو السقوط    ميناء طنجة.. إحباط محاولة تهريب 1152 من المفرقعات والشهب النارية    حملات سياسية مغرضة تستهدف مجموعة الخير وحزب الاستقلال يرد بالحقائق    الخارجية الفلسطينية: الاعتراف بدولة فلسطينية "ليس رمزيا"    سعر الذهب يحطم رقما قياسيا جديدا    محكمة دوسلدورف تدين مغربيا بتهمة التجسس على أنصار "حراك الريف" بألمانيا    بورصة البيضاء تبدأ التداولات بانخفاض    80 فنانًا من دول مختلفة يشاركون في المعرض الجماعي للفن التشكيلي بتطوان    متابعة مدير في شبهة استغلال قاصر    اختصاصي في جراحة العظام يكشف فوائد المشي حافي القدمين    سماعة طبية معززة بالذكاء الاصطناعي تكتشف أمراض القلب في 15 ثانية    المغرب يعزز قوته الجوية بصفقة لاقتناء مروحيات "كاراكال" متعددة المهام        ألمانيا تُجرّب حافلات ذاتية القيادة في 15 مدينة    بطولة انجلترا: الفرنسي كولو مواني ينتقل لتوتنهام على سبيل الإعارة    صيف 2025 الأشد حرارة في بريطانيا منذ 1884        المغرب يختبر تجربة رائدة بألواح شمسية عائمة للحد من تبخر المياه وتوليد الطاقة النظيفة    كرة قدم: باير ليفركوزن يحسم صفقة المغربي إلياس بن صغير    الإخوان المسلمون والحلم بالخلافة    دراسة جديدة تكشف أن عقول المصابين بالتوحد منظمة بشكل مختلف    الأوقاف تعلن موعد أداء مصاريف الحج للائحة الانتظار من 15 إلى 19 شتنبر    ليالي العام الهجري    الملكية وتد ثبات الأمة وإستمرار الدولة المغربية    دخول القانون المتعلق بالصناعة السينمائية وبإعادة تنظيم المركز السينمائي المغربي حيز التنفيذ        جديد العلم في رحلة البحث عن الحق    الزاوية الكركرية تنظم الأسبوع الدولي السابع للتصوف بمناسبة المولد النبوي الشريف    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



فيروسات تستغل متجرغوغل بلاي لتنفيذ هجماتها
كش24 نشر في كشـ24 يوم 11 - 10 - 2017

كشفت شركة “آسيت” (Eset) أن موجة جديدة من برمجيات حصان طروادة الخطيرة المتخصصة بسرقة الحسابات المصرفية والعاملة على نظام التشغيل أندرويد نجحت مجدداً في الدخول إلى متجر غوغل بلاي مسلحةً بأساليب وتقنيات جديدة، وذلك بعد أن حذرت الشركة من خطورة هذه البرمجيات في بداية هذا العام.
وقالت الشركة المتخصصة في أمن المعلومات أن البرمجية الخبيثة المسماة “بانكبوت” (BankBot) قد واصلت تطورها خلال العام الحالي لتظهر بأشكال ونسخ مختلفة داخل متجر غوغل بلاي وخارجه.
وأضافت الشركة السلوفاكية، أن النمط الجديد من حصان طروادة والذي اكتشفته في المتجر بتاريخ 4 سبتمبر (أيلول) يعد أولى تلك البرمجيات الخبيثة التي تدمج أحدث خطوات تطور برمجية “دوبت بانكبوت” بشكل ناجح؛ إذ تم تحسين أنماط تشفير البيانات، وتعزيز دقة تفريغ حمولة البيانات، إلى جانب الاستعانة بتقنيات ماكرة لنقل البرمجيات عبر استغلال صلاحيات الوصول في نظام تشغيل أندرويد.
وذكرت “اسيت” أن حالات استغلال صلاحيات الوصول لنظام تشغيل أندرويد باستخدام عدد من برمجيات حصان طروادة سُجلَّت خارج متجر غوغل بلاي في معظم الأحيان. وأكدت التحليلات التي صدرت حديثًا عن شركتي “إس فاي لابس” (SfyLabs) و “زد سكيلر” (Zscaler)، أن قراصنة الإنترنت الذين يعملون على نشر “بانكبوت” قد نجحوا في رفع التطبيق من خلال استغلال صلاحيات الوصول الخاصة بمتجر غوغل بلاي، من دون تضمينه حمولة بيانات البرمجيات الخبيثة الخاصة بالسرقات المصرفية.
ويتمثل حل هذا اللغز في أن حمولة بيانات البرمجية الخبيثة قد تمكنت من الانسلال متجر غوغل بلاي بشكل لعبة تحمل اسم “جويلز ستار كلاسيك” Jewels Star Classic (وتجدر الإشارة هنا إلى أن القراصنة أساؤوا استخدام الاسم الشهير لإحدى منصات الألعاب المشروعة “جويلز ستار” (Jewels Star) المطورة من قبل شركة “آي تري غيمر” (ITREEGAMER) والتي لا ترتبط على الإطلاق بهذه الهجمة البرمجية الخبيثة).
وقالت شركة “اسيت” إنها قامت بإبلاغ الفريق الأمني لشركة غوغل بشأن هذا التطبيق الخبيث، والذي تم تنزيله من قبل نحو 5 آلاف مستخدم قبل أن يقوم المتجر بإزالته.
كيف تعمل هذه البرمجية الخبيثة؟
أوضحت الشركة أنه حينما يقوم المستخدم غير المنتبه بتنزيل لعبة “جويلز ستار كلاسيك” – المطوّرة من قبل “غيمدف توني” (GameDevTony)، فإنه يحصل على لعبة يمكن تشغيلها على نظام أندرويد. وباستخدام بعض الإضافات المخفية، يمكن للقرصان تشغيل حمولة البيانات الخبيثة الكامنة داخل اللعبة، إلى جانب خدمة خبيثة يتم تفعيلها بعد مهلة معينة تم تحديد مدتها خلال وقت سابق.
ويتم تشغيل الخدمة الخبيثة بعد مرور 20 دقيقة على التشغيل الأول للعبة “جويلز ستار كلاسيك”. وبعدها يقوم الجهاز المصاب بالبرمجية الخبيثة بعرض تنبيه يطالب المستخدم بتمكين خدمة تحمل اسم “خدمة غوغل” (Google Service) (ملاحظة: يظهر التنبيه بشكل مستقل عن النشاط الحالي للمستخدم، ودون أي علاقة ظاهرة له مع اللعبة).
وبعد ضغط المستخدم على خيار موافق، والذي يمثل السبيل الوحيد لمنع التنبيه من الظهور مجدداً، ينتقل المستخدم تلقائياً إلى قائمة الوصول الخاصة بنظام أندرويد، حيث تتم إدارة صلاحيات الوصول في النظام. وتظهر بين مجموعة الخدمات المشروعة خدمة جديدة تسمى “خدمة غوغل” التي أنشأتها البرمجية الخبيثة. ومن خلال الضغط على هذه الخدمة يتم عرض وصف مأخوذ عن اتفاقية “شروط استخدام الخدمة” الخاصة بشركة غوغل.
ومن الناحية العملية وبعد الموافقة على منح الصلاحيات، يتم منع وصول المستخدم لفترة قصيرة إلى شاشة جهازه المحمول ريثما تتم “ترقية خدمة غوغل” (Google service update) – وتجدر الإشارة هنا أن غوغل لا تتولى إدارة هذه العملية.
وتستخدم البرمجية الخبيثة هذه الواجهة على الشاشة للتغطية على خطواتها التالية، وتفعيل العمليات نيابة عن المستخدم من خلال الاستعانة بأذونات الوصول التي حصلت عليها البرمجية الخبيثة خلال وقت سابق. وبينما ينتظر المستخدم انتهاء تحميل الترقية الوهمية، تقوم البرمجية الخبيثة بتنفيذ عدد من العمليات.
ومن تلك العمليات السماح بتحميل التطبيقات من مصادر مجهولة، وتثبيت برمجية “بانكبوت” الخبيثة من مصدرها وتفعيلها، وتفعيل “بانكبوت” كمسؤول إدارة الجهاز، وتعيين “بانكبوت” كتطبيق افتراضي للرسائل القصيرة، والحصول على أذونات لتحميل المزيد من التطبيقات الأخرى.
وبعد نجاحها في تنفيذ هذه العمليات، يصبح بإمكان البرمجية الخبيثة البدء بالعمل على تحقيق هدفها التالي والمتمثل بسرقة معلومات بطاقة الائتمان الخاصة بالمستخدم. وبعكس برمجيات “بانكبوت” الأخرى التي تستهدف مجموعة واسعة من التطبيقات المصرفية المحددة والتي تنتحل أشكالها بهدف الحصول على بيانات الاعتماد الخاصة بالدخول إلى الحسابات المصرفية، ينصب تركيز هذه البرمجية بشكل أساسي على تطبيق غوغل بلاي المثبت على جميع الأجهزة العاملة بنظام تشغيل أندرويد.
وعندما يقوم المستخدم بتشغيل تطبيق غوغل بلاي، تتدخل برمجية “بانكبوت” لتكتسي بالطابع الشرعي للتطبيق وتستخدم نموذجاً مزيفاً منه لطلب معلومات بطاقة الائتمان الخاصة بالمستخدم.

انقر هنا لقراءة الخبر من مصدره.