عامل إقليم الجديدة يشرف على حملة كبرى لتحسين وجه المدينة واليقضة الدائمة للشأن المحلي    تسجيلات صوتية تثير الهلع وسط أولياء التلاميذ بطنجة.. ومصالح الأمن تؤكد: "مجرد إشاعات لا أساس لها من الصحة"    اختناق جماعي داخل وحدة صناعية.. نقل 145 عاملاً إلى المستشفى    طنجة.. "سناك" يتحول إلى مطعم دون رخصة وروائح الطهي تخنق السكان بسبب غياب نظام التهوية    البكوري: ندعم الفعاليات الجادة بتطوان وجمعية محبي ريال مدريد تُسهم في إشعاع مدينتنا    هكذا يستغل بنكيران القضايا العادلة لتلميع صورته وإعادة بناء شعبية حزبه المتهالكة    "الاستقلال" يشكو أوزين إلى العلمي    لقجع: الطلب العمومي الأخضر محور أساسي في استراتيجية التنمية المستدامة بالمملكة    المديرية العامة لأمن نظم المعلومات تصدر تحذيرا من برمجية خبيثة تستهدف أجهزة أندرويد    المغرب وموريتانيا يدفعان بعجلة التنمية المحلية عبر توطيد التعاون اللامركزي    الأحزاب الوطنية تؤكد انخراطها القوي وراء جلالة الملك في معركة الدفاع عن الوحدة الترابية للمملكة    ارتفاع حالات الإصابة بالحصبة في أوروبا خلال شهر مارس الماضي    كوبونات الخصم: مزاياها وكيفية استخدامها عند التسوق اونلاين    "الأشبال" يستعدون لتونس بالإسماعيلية    احتفالية نزاهة الملحون بمكناس تعرف مشاركة من مدينة العرائش    الغزيون في مواجهة سلاحي الجوع والعطش    الموسم الفلاحي .. توقع تسجيل زيادة بنسبة 41 في المائة من محصول الحبوب الرئيسية    صاحبة السمو الملكي الأميرة للا حسناء تزور بباكو ممر الشرف وممر الشهداء    وزارة الداخلية تشدد شروط الحصول على الجنسية الفرنسية    احجيرة: 8 آلاف سيارة مغربية بمصر    شركة صينية تُحوّل استثمارها من إسبانيا إلى طنجة    مدارس السياقة ترفض الصيغة الجديدة للامتحان وتطالب برخصة خاصة "بالأوتوماتيك"    العروي.. الشرطة القضائية توقف "الصيد الثمين" في حملة أمنية ضد مروجي المخدرات    المغرب يحصد 43 ميدالية منها ثلاث ميداليات ذهبية في بطولة إفريقيا للمصارعة    جهة الشرق تسجل أعلى معدل بطالة في المغرب    بورصة الدار البيضاء تنهي تداولاتها على وقع الانخفاض    الحسيمة تحتفي بالسينما الفرنسية ضمن فعاليات الدورة الرابعة للمهرجان الدولي للفيلم    الدريوش توضح حيثيات تصريح الداخلة: دعم مشاريع الأحياء المائية موجه للمبادرات وليس للأفراد وعدد المستفيدين بلغ 592 مستفيدا    مدير المستشفى الجهوي بني ملال يستنفر كل الأطقم لتجفيف كل الظواهر المشينة بالمشفى ومحيطه    الحقيقة والخيال في لوحة التشكيلية المغربية ليلى الشرقاوي    المحمدية تحتفي بالمسرح الاحترافي في دورته الثالثة    مزاعم اختطاف أطفال في طنجة غير صحيحة    ألباريس: المغرب ساعدنا في أزمة الكهرباء.. وعلاقتنا تشهد "تقدما كبيرا"    "تعزيز الدفاع" يؤخر محاكمة حامي الدين    عضة كلب تنهي حياة شاب بعد أسابيع من الإهمال    عودة ليفاندوفسكي تزين قائمة برشلونة قبل موقعة إنتر ميلان في دوري الأبطال    استقبال أعضاء البعثة الصحية لموسم الحج    كيف تُنقذ حياة شخص من أزمة قلبية؟.. أخصائي يوضّح    جدل يرافق دعما يفوق مليار سنتيم في قطاع الصيد .. والدريوش: التمويل دولي    تتويج مثير لكلوب بروج بكأس بلجيكا وشمس الدين الطالبي يرفع العلم المغربي احتفالاً    أوقفها ثم أعادها.. مصطفى أوراش يتراجع عن التجميد ويُعلن استئناف البطولة    كلمة وزير الصحة في حفل استقبال أعضاء البعثة الصحية    أسعار الذهب ترتفع مدعومة بتراجع الدولار    مفاوضات متواصلة تؤجل الكشف عن الأسماء المغربية في موازين    الكوكب يواصل نزيف النقاط واتحاد يعقوب المنصور يعزز موقعه في المركز الثالث    باريس.. الوجه الآخر    أسود الأطلس يواصلون التألق بالدوريات الأوروبية    رسميًا.. ألكسندر أرنولد يعلن رحيله عن ليفربول    فرنسا والاتحاد الأوروبي يقودان جهودا لجذب العلماء الأميركيين المستائين من سياسات ترامب    توقعات أحوال الطقس اليوم الإثنين    أكاديمية المملكة تحتفي بآلة القانون    تفاصيل إحباط تفجير حفلة ليدي غاغا    العثور على جثث 13 عاملا بالبيرو    بريطانيا تطلق رسمياً لقاح جديد واعد ضد السرطان    التدين المزيف: حين يتحول الإيمان إلى سلعة    مصل يقتل ب40 طعنة على يد آخر قبيل صلاة الجمعة بفرنسا    كردية أشجع من دول عربية 3من3    وداعًا الأستاذ محمد الأشرافي إلى الأبد    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



فيروسات تستغل متجرغوغل بلاي لتنفيذ هجماتها
كش24 نشر في كشـ24 يوم 11 - 10 - 2017

كشفت شركة “آسيت” (Eset) أن موجة جديدة من برمجيات حصان طروادة الخطيرة المتخصصة بسرقة الحسابات المصرفية والعاملة على نظام التشغيل أندرويد نجحت مجدداً في الدخول إلى متجر غوغل بلاي مسلحةً بأساليب وتقنيات جديدة، وذلك بعد أن حذرت الشركة من خطورة هذه البرمجيات في بداية هذا العام.
وقالت الشركة المتخصصة في أمن المعلومات أن البرمجية الخبيثة المسماة “بانكبوت” (BankBot) قد واصلت تطورها خلال العام الحالي لتظهر بأشكال ونسخ مختلفة داخل متجر غوغل بلاي وخارجه.
وأضافت الشركة السلوفاكية، أن النمط الجديد من حصان طروادة والذي اكتشفته في المتجر بتاريخ 4 سبتمبر (أيلول) يعد أولى تلك البرمجيات الخبيثة التي تدمج أحدث خطوات تطور برمجية “دوبت بانكبوت” بشكل ناجح؛ إذ تم تحسين أنماط تشفير البيانات، وتعزيز دقة تفريغ حمولة البيانات، إلى جانب الاستعانة بتقنيات ماكرة لنقل البرمجيات عبر استغلال صلاحيات الوصول في نظام تشغيل أندرويد.
وذكرت “اسيت” أن حالات استغلال صلاحيات الوصول لنظام تشغيل أندرويد باستخدام عدد من برمجيات حصان طروادة سُجلَّت خارج متجر غوغل بلاي في معظم الأحيان. وأكدت التحليلات التي صدرت حديثًا عن شركتي “إس فاي لابس” (SfyLabs) و “زد سكيلر” (Zscaler)، أن قراصنة الإنترنت الذين يعملون على نشر “بانكبوت” قد نجحوا في رفع التطبيق من خلال استغلال صلاحيات الوصول الخاصة بمتجر غوغل بلاي، من دون تضمينه حمولة بيانات البرمجيات الخبيثة الخاصة بالسرقات المصرفية.
ويتمثل حل هذا اللغز في أن حمولة بيانات البرمجية الخبيثة قد تمكنت من الانسلال متجر غوغل بلاي بشكل لعبة تحمل اسم “جويلز ستار كلاسيك” Jewels Star Classic (وتجدر الإشارة هنا إلى أن القراصنة أساؤوا استخدام الاسم الشهير لإحدى منصات الألعاب المشروعة “جويلز ستار” (Jewels Star) المطورة من قبل شركة “آي تري غيمر” (ITREEGAMER) والتي لا ترتبط على الإطلاق بهذه الهجمة البرمجية الخبيثة).
وقالت شركة “اسيت” إنها قامت بإبلاغ الفريق الأمني لشركة غوغل بشأن هذا التطبيق الخبيث، والذي تم تنزيله من قبل نحو 5 آلاف مستخدم قبل أن يقوم المتجر بإزالته.
كيف تعمل هذه البرمجية الخبيثة؟
أوضحت الشركة أنه حينما يقوم المستخدم غير المنتبه بتنزيل لعبة “جويلز ستار كلاسيك” – المطوّرة من قبل “غيمدف توني” (GameDevTony)، فإنه يحصل على لعبة يمكن تشغيلها على نظام أندرويد. وباستخدام بعض الإضافات المخفية، يمكن للقرصان تشغيل حمولة البيانات الخبيثة الكامنة داخل اللعبة، إلى جانب خدمة خبيثة يتم تفعيلها بعد مهلة معينة تم تحديد مدتها خلال وقت سابق.
ويتم تشغيل الخدمة الخبيثة بعد مرور 20 دقيقة على التشغيل الأول للعبة “جويلز ستار كلاسيك”. وبعدها يقوم الجهاز المصاب بالبرمجية الخبيثة بعرض تنبيه يطالب المستخدم بتمكين خدمة تحمل اسم “خدمة غوغل” (Google Service) (ملاحظة: يظهر التنبيه بشكل مستقل عن النشاط الحالي للمستخدم، ودون أي علاقة ظاهرة له مع اللعبة).
وبعد ضغط المستخدم على خيار موافق، والذي يمثل السبيل الوحيد لمنع التنبيه من الظهور مجدداً، ينتقل المستخدم تلقائياً إلى قائمة الوصول الخاصة بنظام أندرويد، حيث تتم إدارة صلاحيات الوصول في النظام. وتظهر بين مجموعة الخدمات المشروعة خدمة جديدة تسمى “خدمة غوغل” التي أنشأتها البرمجية الخبيثة. ومن خلال الضغط على هذه الخدمة يتم عرض وصف مأخوذ عن اتفاقية “شروط استخدام الخدمة” الخاصة بشركة غوغل.
ومن الناحية العملية وبعد الموافقة على منح الصلاحيات، يتم منع وصول المستخدم لفترة قصيرة إلى شاشة جهازه المحمول ريثما تتم “ترقية خدمة غوغل” (Google service update) – وتجدر الإشارة هنا أن غوغل لا تتولى إدارة هذه العملية.
وتستخدم البرمجية الخبيثة هذه الواجهة على الشاشة للتغطية على خطواتها التالية، وتفعيل العمليات نيابة عن المستخدم من خلال الاستعانة بأذونات الوصول التي حصلت عليها البرمجية الخبيثة خلال وقت سابق. وبينما ينتظر المستخدم انتهاء تحميل الترقية الوهمية، تقوم البرمجية الخبيثة بتنفيذ عدد من العمليات.
ومن تلك العمليات السماح بتحميل التطبيقات من مصادر مجهولة، وتثبيت برمجية “بانكبوت” الخبيثة من مصدرها وتفعيلها، وتفعيل “بانكبوت” كمسؤول إدارة الجهاز، وتعيين “بانكبوت” كتطبيق افتراضي للرسائل القصيرة، والحصول على أذونات لتحميل المزيد من التطبيقات الأخرى.
وبعد نجاحها في تنفيذ هذه العمليات، يصبح بإمكان البرمجية الخبيثة البدء بالعمل على تحقيق هدفها التالي والمتمثل بسرقة معلومات بطاقة الائتمان الخاصة بالمستخدم. وبعكس برمجيات “بانكبوت” الأخرى التي تستهدف مجموعة واسعة من التطبيقات المصرفية المحددة والتي تنتحل أشكالها بهدف الحصول على بيانات الاعتماد الخاصة بالدخول إلى الحسابات المصرفية، ينصب تركيز هذه البرمجية بشكل أساسي على تطبيق غوغل بلاي المثبت على جميع الأجهزة العاملة بنظام تشغيل أندرويد.
وعندما يقوم المستخدم بتشغيل تطبيق غوغل بلاي، تتدخل برمجية “بانكبوت” لتكتسي بالطابع الشرعي للتطبيق وتستخدم نموذجاً مزيفاً منه لطلب معلومات بطاقة الائتمان الخاصة بالمستخدم.

انقر هنا لقراءة الخبر من مصدره.