تصعيد ديموقراطي ضد إدارة ترامب لمحاولتها التعتيم على "وثائق إبستين"    حماس جماهيري وتنظيم محكم يسبقان افتتاح كأس إفريقيا للأمم في الرباط    تفوق تاريخي ل"الأسود".. تعرّف على سجل المواجهات بين المغرب وجزر القمر    تصعيد خطير بعد دعوات لطرد الإماراتيين من الجزائر        رئيس فيفا: المغرب رافعة لكرة القدم    في الذكرى الخامس للتطبيع.. تظاهرات بالمدن المغربية للمطالبة بإسقاطه ووقف الجرائم في فلسطين    نشرة إنذارية.. تساقطات ثلجية وأمطار قوية أحيانا رعدية وهبات رياح من اليوم الأحد إلى الأربعاء المقبل    ماكرون يبحث في أبوظبي فرص التعاون    الليلة تبدأ الحكاية    وكالة بيت مال القدس الشريف تقدم إستراتيجيتها لدعم قطاع التجارة في القدس برسم سنة 2026    القوات المسلحة الملكية تنشئ ثلاث مستشفيات عسكرية ميدانية بأقاليم أزيلال والحوز وميدلت    دليلة الشعيبي نمودج الفاعلة السياحية الغيورة على وجهة سوس ماسة    أدب ومحاكمة ورحيل    الاحتلال يوسّع الاستيطان في الضفة الغربية لمنع قيام دولة فلسطينية    وزارة الأوقاف تعلن مطلع هلال شهر رجب    "مجموعة نسائية": الأحكام في حق نزهة مجدي وسعيدة العلمي انتهاك يعكس تصاعد تجريم النضال    "محمد بن عبد الكريم الخطابي في القاهرة من خلال الصحافة المصرية" موضوع اطروحة دكتوراه بكلية عين الشق    الأمن الوطني يشرع في اعتماد الأمازيغية على مركباته    أزمة المقاولات الصغيرة تدفع أصحابها لمغادرة الحسيمة ومهنيون يدقون ناقوس الخطر    مغربي مرتبط بالمافيا الإيطالية يُدوّخ الشرطة البلجيكية    كأس افريقيا للأمم بروفة للمونديال    تفتيش مركزي يكشف خروقات خطيرة في صفقات عمومية بوثائق مزورة    مسلحون مجهولون يفتحون النار على المارة في جنوب إفريقيا    ضيعة بكلميم تتحول إلى مخزن للشيرا    التعويض عن الكوارث جزء أصيل من إدارة الأزمة..    عرس كروي استثنائي    أشرف حكيمي يطمئن الجماهير المغربية بخصوص مشاركته في ال"كان"    السعدي: أعدنا الاعتبار للسياسة بالصدق مع المغاربة.. ولنا العمل وللخصوم البكائيات    حركة "التوحيد والإصلاح" ترفض إعلانًا انفصاليًا بالجزائر وتدعو إلى احترام سيادة الدول    الأحمدي يحذر المنتخب من الثقة الزائدة    "فيسبوك" تختبر وضع حد أقصى للروابط على الصفحات والحسابات المهنية    مشروبات الطاقة تحت المجهر الطبي: تحذير من مضاعفات دماغية خطيرة    اختتام حملتي "حومتي" و"لقلب لكبير" بجهة طنجة تطوان الحسيمة: مسيرة وطنية بروح التضامن والعطاء    نقابة التعليم بالحزام الجبلي ببني ملال تنتقد زيارة المدير الإقليمي لثانوية بأغبالة وتحمّله مسؤولية تدهور الأوضاع    أجواء ممطرة في توقعات اليوم الأحد بالمغرب    "تيميتار" يحوّل أكادير عاصمة إفريقية    خطر التوقف عن التفكير وعصر سمو التفاهة    تنبيه أمني – محاولة احتيال عبر انتحال هوية أفريقيا (Afriquia SMDC)    أكادير تحتفي بالعالم بصوت أمازيغي    الدرهم في ارتفاع أمام اليورو والدولار    كأس إفريقيا .. مطارات المغرب تحطم أرقاما قياسية في أعداد الوافدين    مهرجان ربيع وزان السينمائي الدولي في دورته الثانية يشرع في تلقي الأفلام        الفنانة سمية الألفي تغادر دنيا الناس    البنك الدولي يوافق على منح المغرب أربعة ملايين دولار لتعزيز الصمود المناخي    فتح الله ولعلو يوقّع بطنجة كتابه «زمن مغربي.. مذكرات وقراءات»    الشجرة المباركة تخفف وطأة البطالة على المغاربة    العاصمة الألمانية تسجل أول إصابة بجدري القردة    من هم "الحشاشون" وما صحة الروايات التاريخية عنهم؟    السعودية تمنع التصوير داخل الحرمين خلال الحج    منظمة الصحة العالمية تدق ناقوس انتشار سريع لسلالة جديدة من الإنفلونزا    7 طرق كي لا يتحوّل تدريس الأطفال إلى حرب يومية    سلالة إنفلونزا جديدة تجتاح نصف الكرة الشمالي... ومنظمة الصحة العالمية تطلق ناقوس الخطر    استمرار إغلاق مسجد الحسن الثاني بالجديدة بقرار من المندوبية الإقليمية للشؤون الإسلامية وسط دعوات الساكنة عامل الإقليم للتدخل    سوريا الكبرى أم إسرائيل الكبرى؟    الرسالة الملكية توحّد العلماء الأفارقة حول احتفاء تاريخي بميلاد الرسول صلى الله عليه وسلم    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



"آسيت": فيروسات خطيرة لسرقة الأموال تستغل متجر غوغل بلاي لتنفيذ هجماتها
أخبارنا نشر في أخبارنا يوم 29 - 09 - 2017

كشفت شركة "آسيت" (Eset) أن موجة جديدة من برمجيات حصان طروادة الخطيرة المتخصصة بسرقة الحسابات المصرفية والعاملة على نظام التشغيل أندرويد نجحت مجدداً في الدخول إلى متجر غوغل بلاي مسلحةً بأساليب وتقنيات جديدة، وذلك بعد أن حذرت الشركة من خطورة هذه البرمجيات في بداية هذا العام.
وقالت الشركة المتخصصة في أمن المعلومات أن البرمجية الخبيثة المسماة "بانكبوت" (BankBot) قد واصلت تطورها خلال العام الحالي لتظهر بأشكال ونسخ مختلفة داخل متجر غوغل بلاي وخارجه.
وأضافت الشركة السلوفاكية، أن النمط الجديد من حصان طروادة والذي اكتشفته في المتجر بتاريخ 4 سبتمبر (أيلول) يعد أولى تلك البرمجيات الخبيثة التي تدمج أحدث خطوات تطور برمجية "دوبت بانكبوت" بشكل ناجح؛ إذ تم تحسين أنماط تشفير البيانات، وتعزيز دقة تفريغ حمولة البيانات، إلى جانب الاستعانة بتقنيات ماكرة لنقل البرمجيات عبر استغلال صلاحيات الوصول في نظام تشغيل أندرويد.
وذكرت "اسيت" أن حالات استغلال صلاحيات الوصول لنظام تشغيل أندرويد باستخدام عدد من برمجيات حصان طروادة سُجلَّت خارج متجر غوغل بلاي في معظم الأحيان. وأكدت التحليلات التي صدرت حديثًا عن شركتي "إس فاي لابس" (SfyLabs) و "زد سكيلر" (Zscaler)، أن قراصنة الإنترنت الذين يعملون على نشر "بانكبوت" قد نجحوا في رفع التطبيق من خلال استغلال صلاحيات الوصول الخاصة بمتجر غوغل بلاي، من دون تضمينه حمولة بيانات البرمجيات الخبيثة الخاصة بالسرقات المصرفية.
ويتمثل حل هذا اللغز في أن حمولة بيانات البرمجية الخبيثة قد تمكنت من الانسلال متجر غوغل بلاي بشكل لعبة تحمل اسم "جويلز ستار كلاسيك" Jewels Star Classic (وتجدر الإشارة هنا إلى أن القراصنة أساؤوا استخدام الاسم الشهير لإحدى منصات الألعاب المشروعة "جويلز ستار" (Jewels Star) المطورة من قبل شركة "آي تري غيمر" (ITREEGAMER) والتي لا ترتبط على الإطلاق بهذه الهجمة البرمجية الخبيثة).
وقالت شركة "اسيت" إنها قامت بإبلاغ الفريق الأمني لشركة غوغل بشأن هذا التطبيق الخبيث، والذي تم تنزيله من قبل نحو 5 آلاف مستخدم قبل أن يقوم المتجر بإزالته.
كيف تعمل هذه البرمجية الخبيثة؟
أوضحت الشركة أنه حينما يقوم المستخدم غير المنتبه بتنزيل لعبة "جويلز ستار كلاسيك" – المطوّرة من قبل "غيمدف توني" (GameDevTony)، فإنه يحصل على لعبة يمكن تشغيلها على نظام أندرويد. وباستخدام بعض الإضافات المخفية، يمكن للقرصان تشغيل حمولة البيانات الخبيثة الكامنة داخل اللعبة، إلى جانب خدمة خبيثة يتم تفعيلها بعد مهلة معينة تم تحديد مدتها خلال وقت سابق.
ويتم تشغيل الخدمة الخبيثة بعد مرور 20 دقيقة على التشغيل الأول للعبة "جويلز ستار كلاسيك". وبعدها يقوم الجهاز المصاب بالبرمجية الخبيثة بعرض تنبيه يطالب المستخدم بتمكين خدمة تحمل اسم "خدمة غوغل" (Google Service) (ملاحظة: يظهر التنبيه بشكل مستقل عن النشاط الحالي للمستخدم، ودون أي علاقة ظاهرة له مع اللعبة).
وبعد ضغط المستخدم على خيار موافق، والذي يمثل السبيل الوحيد لمنع التنبيه من الظهور مجدداً، ينتقل المستخدم تلقائياً إلى قائمة الوصول الخاصة بنظام أندرويد، حيث تتم إدارة صلاحيات الوصول في النظام. وتظهر بين مجموعة الخدمات المشروعة خدمة جديدة تسمى "خدمة غوغل" التي أنشأتها البرمجية الخبيثة. ومن خلال الضغط على هذه الخدمة يتم عرض وصف مأخوذ عن اتفاقية "شروط استخدام الخدمة" الخاصة بشركة غوغل.
ومن الناحية العملية وبعد الموافقة على منح الصلاحيات، يتم منع وصول المستخدم لفترة قصيرة إلى شاشة جهازه المحمول ريثما تتم "ترقية خدمة غوغل" (Google service update) – وتجدر الإشارة هنا أن غوغل لا تتولى إدارة هذه العملية.
وتستخدم البرمجية الخبيثة هذه الواجهة على الشاشة للتغطية على خطواتها التالية، وتفعيل العمليات نيابة عن المستخدم من خلال الاستعانة بأذونات الوصول التي حصلت عليها البرمجية الخبيثة خلال وقت سابق. وبينما ينتظر المستخدم انتهاء تحميل الترقية الوهمية، تقوم البرمجية الخبيثة بتنفيذ عدد من العمليات.
ومن تلك العمليات السماح بتحميل التطبيقات من مصادر مجهولة، وتثبيت برمجية "بانكبوت" الخبيثة من مصدرها وتفعيلها، وتفعيل "بانكبوت" كمسؤول إدارة الجهاز، وتعيين "بانكبوت" كتطبيق افتراضي للرسائل القصيرة، والحصول على أذونات لتحميل المزيد من التطبيقات الأخرى.
وبعد نجاحها في تنفيذ هذه العمليات، يصبح بإمكان البرمجية الخبيثة البدء بالعمل على تحقيق هدفها التالي والمتمثل بسرقة معلومات بطاقة الائتمان الخاصة بالمستخدم. وبعكس برمجيات "بانكبوت" الأخرى التي تستهدف مجموعة واسعة من التطبيقات المصرفية المحددة والتي تنتحل أشكالها بهدف الحصول على بيانات الاعتماد الخاصة بالدخول إلى الحسابات المصرفية، ينصب تركيز هذه البرمجية بشكل أساسي على تطبيق غوغل بلاي المثبت على جميع الأجهزة العاملة بنظام تشغيل أندرويد.
وعندما يقوم المستخدم بتشغيل تطبيق غوغل بلاي، تتدخل برمجية "بانكبوت" لتكتسي بالطابع الشرعي للتطبيق وتستخدم نموذجاً مزيفاً منه لطلب معلومات بطاقة الائتمان الخاصة بالمستخدم.

انقر هنا لقراءة الخبر من مصدره.