فيروس يهاجم 330 ألف مستخدم عن طريق غوغل للإعلانات
اكتشف خبراء كاسبرسكي لاب حديثاً نسخة معدلة من برمجية حصان طروادة الخبيثة Svpeng المتخفية في AdSense- الشبكة الإعلانية الخاصة بشركة غوغل.
وفي غضون فترة لم تتعد الشهرين، تمكن الخبراء من اكتشاف حملة Svpeng الخبيثة على الأجهزة العاملة بنظام التشغيل أندرويد لما يقرب من 330 ألف مستخدم، إذ بلغت نسبة الإصابة ذروتها لتشمل 26 ألف ضحية يومياً.
وتحقيقاً لأغراضهم المشبوهة بالسطو على معلومات البطاقات المصرفية والبيانات الشخصية مثل جهات الاتصال وسجل المكالمات، لجأ القراصنة لاستغلال خلل في المتصفح غوغل كروم على أجهزة أندرويد. والآن، بعد أن قامت غوغل بإصلاح الخلل، أصبح بإمكان خبراء كاسبرسكي لاب الكشف عن التفاصيل الكاملة لهذا الهجوم.
يذكر أن الحالة الأولى من حملة Svpeng الخبيثة كانت قد ظهرت في منتصف شهر يوليو «تموز» على إحدى البوابات الإخبارية الروسية على الإنترنت. وخلال الهجوم، قام حصان طروادة بإجراء تحميل ذاتي له خلسة على الأجهزة بنظام أندرويد لمتصفحي الموقع الإلكتروني.
وفي سياق عملية الكشف عن الهجوم، وجد باحثو كاسبرسكي لاب أن الحملة بدأت انطلاقاً من أحد الإعلانات المصابة المعروضة في منصة غوغل AdSense. وتم عرض الاعلان بشكل اعتيادي على صفحات الويب غير المصابة، وكان يتم تحميل حصان طروادة عند قيام المستخدم بالدخول إلى الصفحة عن طريق متصفح كروم المثبت على أجهزة أندرويد.
وكانت Svpeng متخفية على شكل تحديثات مهمة للمتصفح أو كتطبيق عام لإقناع المستخدم بقبول التثبيت. وبمجرد أن يتم تفعيل البرمجية الخبيثة سرعان ما تتلاشى من على قائمة التطبيقات المثبتة وتطلب من المستخدم إعطائها حقوق إداري الجهاز. وهذا ما جعل اكتشاف هذه البرمجية الخبيثة أكثر صعوبة.
وعلى ما يبدو أن المهاجمين وجدوا طريقة لتخطي بعض مزايا الأمان الرئيسية المطبقة في غوغل كروم لأجهزة أندرويد. وفي الأحوال الاعتيادية، عندما يتم تحميل ملف APK على أي جهاز متنقل بواسطة رابط ويب خارجي، يقوم المتصفح بعرض تحذير مفاده أن هناك مادة تنطوي على مخاطر محتملة يجري تحميلها الآن.
وفي هذه الحالة، وجد المحتالون خللاً أتاح لهم تنزيل ملفات APK دون لفت انتباه المستخدمين. وبعد اكتشاف الخلل مباشرة، قامت كاسبرسكي لاب بإبلاغ غوغل بهذا الأمر. وسيتم طرح نسخة إصلاح هذه الثغرة الأمنية في الإصدار التالي لبرنامج غوغل كروم الخاص بتحديثات أندرويد.
وتحدث نيكيتا بوشكا، محلل برمجيات خبيثة في كاسبرسكي لاب قائلاً: “تؤكد حملة Svpeng الخبيثة مجدداً، مدى أهمية التعاون بين الشركات. فنحن لدينا هدف مشترك يتمثل في حماية المستخدمين من الهجمات الإلكترونية، ومن المهم أن نعمل عن كثب ونوحّد جهودنا لتحقيق هذا الهدف. وبإمكان المستخدمين أيضاً المساعدة في ذلك من خلال امتناعهم عن تحميل التطبيقات من مصادر غير موثوقة والتفكير ملياً بالتفويضات التي تطلب منهم والتساؤل عن سببها”.
وتوصي كاسبرسكي لاب العملاء بتثبيت حلول أمنية فاعلة وبتوخي الحذر تجاه الأدوات والتقنيات المستخدمة من قبل مصممي البرمجيات الخبيثة لخداعهم وحثهم على تثبيت البرامج الخبيثة وقبول منح حقوق ادارة الجهاز عن بعد.
يُشار إلى أن برمجية حصان طروادة الخبيثة Svpeng الموجهة صممت للقنوات المصرفية عبر الأجهزة المتنقلة لسرقة معلومات البطاقات البنكية. وكذلك جمع سجل المكالمات الصادرة والواردة والرسائل النصية والوسائط المتعددة والقوائم المفضلة للمتصفح وجهات الاتصال.
وتستهدف حملة Svpeng على وجه الخصوص الدول الناطقة باللغة الروسية، ومع ذلك، هناك احتمال أن تتوسع إلى دول أخرى حول العالم. ونظراً لطبيعة انتشار هذه البرمجية الخبيثة المحددة، فإن الملايين من صفحات الويب معرضة للمخاطر، خاصة وأن الكثير منها تستخدم منصة AdSense لعرض الإعلانات التجارية.
