كشفت شركة Zscaler المتخصصة في أمن الحوسبة السحابية، أن أكثر من 19 مليون عملية تنزيل تمت لتطبيقات خبيثة عبر متجر Google Play، بعدما تمكنت من تجاوز آليات الفحص الأمني لشركة جوجل، مما يثير تساؤلات حول فعالية أنظمة الحماية في المنصة.
وأفاد مختبر ThreatLabz التابع لـ Zscaler أنه رصد 77 تطبيقًا ضارًا تم تحميلها من المتجر، معظمها تنكّر في هيئة أدوات مساعدة أو تطبيقات تخصيص للواجهة.
بعض هذه التطبيقات احتوى على نسخة مطورة من Anatsa، حصان طروادة مصرفي معروف منذ عام 2020، جرى تطويره ليصعب اكتشافه، ويستهدف أكثر من 831 مؤسسة مالية حول العالم، بينها بنوك ومنصات تداول عملات رقمية.
قدرات Anatsa المطور
الإصدار الجديد من Anatsa يمتلك خصائص احتيالية متقدمة، أبرزها:
تسجيل ضغطات لوحة المفاتيح.
اعتراض الرسائل النصية القصيرة.
التهرّب من أدوات الكشف باستخدام تقنيات تشويش متطورة تعتمد على مفاتيح تشفير منفصلة من نوع DES لكل مكون.
إخفاء الحمولة داخل ملفات JSON تُحذف تلقائيًا بعد التشغيل، مما يعقّد مهمة اكتشافه.
وأضاف التقرير أن هذه التطبيقات تطلب أذونات واسعة بعد التثبيت وتعرض واجهات شرعية المظهر لخداع المستخدمين.
Joker يواصل التهديد
ورغم خطورة Anatsa، فإن برنامج Joker لا يزال التهديد الأكبر داخل متجر Google Play منذ ظهوره في 2020، حيث يمثل 25% من الإصابات المكتشفة، عبر سرقة بيانات الاعتماد من خلال الرسائل النصية.
ثغرات مزمنة
أعادت نتائج التقرير تسليط الضوء على ثغرات مزمنة في سياسات فحص التطبيقات على Google Play، وهو ما يثير تساؤلات حول استعداد الشركة لمواجهة برمجيات متقدمة من هذا النوع.
وأكدت جوجل أنها كانت على علم بالثغرات قبل نشر التقرير، واتخذت إجراءات لحماية المستخدمين، لكنها لم تكشف ما إذا كانت هذه الخطوات جاءت استجابة لنتائج Zscaler.
متاجر أخرى ليست محصنة
ورغم تفوق متجر Apple في مجال أمان التطبيقات، إلا أنه ليس بمنأى عن المخاطر؛ ففي أبريل الماضي، اكتشف باحثو كاسبرسكي برمجية خبيثة تُسمى ComeCome على متجر Apple، استهدفت سرقة محافظ العملات المشفرة.
مستويات مختلفة من التهديد
خلصت Zscaler إلى أن معظم البرمجيات الخبيثة المنتشرة على المتاجر تهدف إلى الاحتيال الإعلاني، وهو تهديد محدود العائد، غير أن تهديدات مثل Anatsa تمثل مستوى أخطر بكثير، لكونها تستهدف بيانات مالية حساسة وتنفذ اختراقات عميقة تهدد المستخدمين والأفراد والشركات على حد سواء.