باحثون يكتشوفن تطبيق «بوكيمون جو» خبيث يخدع نصف مليون لاعب
الجمعة 23/سبتمبر/2016 - 02:58 م
اكتشف باحثون في شركة الأمن والحماية كاسبرسكي لاب Kaspersky Lab وجود تطبيق خبيث في متجر "غوغل بلاي" Google Play يحمل اسم Guide for Pokémon Go، ويهدف التطبيق للسيطرة بشكل كامل على أجهزة أندرويد.
وقالت شركة كاسبرسكي لاب في تدوينة نشرتها على موقعها الرسمي إلى تنكر التطبيق وتقديم نفسه على انه دليل مساعدة للاعبي اللعبة الشعبية "بوكيمون غو".
وتشير بيانات المتجر إلى قيام المستخدمين بتحميل التطبيق أكثر من 500 ألف مرة، وقد استخدم مبرمجوا التطبيق طبقات متعددة من التشويش لتجاوز آليات الكشف عن البرامج الضارة في متجر جوجل بلاي Google Play.
ويحتوي التطبيق على نموذج برمجية خبيثة لا يتم تنفيذها فورًا، بل ينتظر التطبيق بدلًا من ذلك قيام المستخدم بتثبيت أو إلغاء تثبيت تطبيق آخر ليحديد فيما إذا كان يعمل على جهاز حقيقي أو ضمن بيئة محاكاة، مماثلة للبيئات المستخدمة لاكتشاف البرامج الضارة.
وبمجرد أن يحدد التطبيق بانه يعمل على جهاز حقيقي فإنه ينتظر مدة ساعتين قبل تنفيذ النموذج الخبيث، والذي يتصل عن بعد بخادم ويرسل إليه بيانات عن الجهاز المستهدف.
ويمكن لجهاز الخادم توجيه النموذج الخبيث للقيام بعملية تحميل ثغرات على الجهاز المستهدف من أجل استغلال نقاط الضعف المحلية التي تم اكتشافها في نظام أندرويد بين عامي 2012 و2015.
وتسمح تلك الثغرات بالوصول إلى جذر النظام ومنح المهاجم حق الوصول إلى أعلى حساب صلاحيات على أندرويد وهو حساب الجذر، وبعبارة أخرى فإن تلك العملية تؤدي إلى التحكم الكامل بالجهاز.
وقد أصدرت شركة جوجل تصحيحات عالجت بها جميع نقاط الضعف تلك، إلا ان المهاجمين يحاولون الوصول إلى الأجهزة التي لم تحصل على تلك التحديثات، وذلك بسبب تشعب نظام أندرويد واختلاف الشركات المصنعة للأجهزة الإصدارات الخاصة بها.
وقد لا يمثل رقم 500 ألف عملية تنزيل عدد الأجهزة المعرضة للخطر، وذلك لأن نظام أندرويد يمتلك ميزات حماية محلية مثل التحقق من التطبيقات والسلامة وSafetyNet، وقد تم تصميم تلك الميزات خصيصًا لكشف ومنع الثغرات المعروفة من الوصول إلى الجذر.
وقد حددت شركة كاسبيرسكي أكثر من 6 آلاف إصابة فعلية تتوزع بشكل رئيسي في روسيا والهند واندونيسيا، وقال الباحثون في شركة كاسبرسكي انه على الرغم من توجه التطبيق للمستخدمين الناطقين باللغة الإنجليزية إلا ان العديد من المستخدمين في مناطق جغرافية أخرى قد تضرروا.
وقالت شركة كاسبرسكي لاب في تدوينة نشرتها على موقعها الرسمي إلى تنكر التطبيق وتقديم نفسه على انه دليل مساعدة للاعبي اللعبة الشعبية "بوكيمون غو".
وتشير بيانات المتجر إلى قيام المستخدمين بتحميل التطبيق أكثر من 500 ألف مرة، وقد استخدم مبرمجوا التطبيق طبقات متعددة من التشويش لتجاوز آليات الكشف عن البرامج الضارة في متجر جوجل بلاي Google Play.
ويحتوي التطبيق على نموذج برمجية خبيثة لا يتم تنفيذها فورًا، بل ينتظر التطبيق بدلًا من ذلك قيام المستخدم بتثبيت أو إلغاء تثبيت تطبيق آخر ليحديد فيما إذا كان يعمل على جهاز حقيقي أو ضمن بيئة محاكاة، مماثلة للبيئات المستخدمة لاكتشاف البرامج الضارة.
وبمجرد أن يحدد التطبيق بانه يعمل على جهاز حقيقي فإنه ينتظر مدة ساعتين قبل تنفيذ النموذج الخبيث، والذي يتصل عن بعد بخادم ويرسل إليه بيانات عن الجهاز المستهدف.
ويمكن لجهاز الخادم توجيه النموذج الخبيث للقيام بعملية تحميل ثغرات على الجهاز المستهدف من أجل استغلال نقاط الضعف المحلية التي تم اكتشافها في نظام أندرويد بين عامي 2012 و2015.
وتسمح تلك الثغرات بالوصول إلى جذر النظام ومنح المهاجم حق الوصول إلى أعلى حساب صلاحيات على أندرويد وهو حساب الجذر، وبعبارة أخرى فإن تلك العملية تؤدي إلى التحكم الكامل بالجهاز.
وقد أصدرت شركة جوجل تصحيحات عالجت بها جميع نقاط الضعف تلك، إلا ان المهاجمين يحاولون الوصول إلى الأجهزة التي لم تحصل على تلك التحديثات، وذلك بسبب تشعب نظام أندرويد واختلاف الشركات المصنعة للأجهزة الإصدارات الخاصة بها.
وقد لا يمثل رقم 500 ألف عملية تنزيل عدد الأجهزة المعرضة للخطر، وذلك لأن نظام أندرويد يمتلك ميزات حماية محلية مثل التحقق من التطبيقات والسلامة وSafetyNet، وقد تم تصميم تلك الميزات خصيصًا لكشف ومنع الثغرات المعروفة من الوصول إلى الجذر.
وقد حددت شركة كاسبيرسكي أكثر من 6 آلاف إصابة فعلية تتوزع بشكل رئيسي في روسيا والهند واندونيسيا، وقال الباحثون في شركة كاسبرسكي انه على الرغم من توجه التطبيق للمستخدمين الناطقين باللغة الإنجليزية إلا ان العديد من المستخدمين في مناطق جغرافية أخرى قد تضرروا.
