صفحات غوغل بلاي المزيفة تنشر برمجية SpyNote الخبيثة على مستخدمي الأندرويد

توزع حملة البرمجيات الخبيثة لنظام Android الجديدة المكتشفة الـ Trojan الخارق للوصول عن بعد SpyNote عن طريق تقليد صفحات متجر Google Play على المواقع الويب الخداعية.

يقول الباحثون في مجال الأمن في Infosecurity أن الحملة تستخدم نطاقات تم تسجيلها مؤخرًا لخداع المستخدمين ودفعهم لتنزيل تطبيقات مُصابة مُتنكرة كبرامج شائعة.

تشبه الصفحات الزائفة بشكل كبير القوائم الأصلية في Google Play، مع الألبومات المتحركة للصور، وأزرار “تثبيت”، وأثار الأكواد التي تشير إلى تطبيق TikTok على نظام أندرويد. عندما يقوم المستخدمون بالنقر للتثبيت، يتم تشغيل JavaScript الخبيث لتنزيل ملف APK ملغوم بشكل تلقائي.

بمجرد التثبيت، ينفذ ملف APK وظيفة مخفية تسقط APK ثاني يحتوي على الحمولة الأساسية لـ SpyNote. يتصل هذا البرنامج الخبيث بخوادم القيادة والتحكم (C2) باستخدام عناوين IP المدمجة مسبقًا في كوده، مما يتيح الوصول عن بعد والتحكم.

يمنح SpyNote للمهاجمين سيطرة شاملة على الأجهزة المصابة. تشمل ميزاته اعتراض المكالمات والرسائل القصيرة، الوصول إلى جهات الاتصال، تسجيل المكالمات الهاتفية، تسجيل الضغطات على الأزرار، تفعيل الكاميرا والميكروفون، وتتبع موقع GPS.

يمكن للبرمجية الخبيثة أيضا تثبيت تطبيقات أخرى، قفل الأجهزة أو مسحها، ومنع الإزالة عن طريق إساءة استخدام خدمات الوصول في Android.

“تشتهر SpyNote بمدى تمسكها، حيث غالبًا ما تتطلب إعادة تعيين المصنع لإزالتها بشكل كامل”، حذر الباحثون في DomainTools، الذين كشفوا عن الحملة، كما ذكرت Infosecusiry.

تشير الأدلة في البرمجيات الخبيثة وبنية التوزيع إلى احتمال وجود رابط بالصين. تحتوي البرمجيات الخبيثة على رموز باللغة الصينية وتستخدم منصات توزيع مستضافة في الصين.

تشير معلومات الأمن إلى أنه بالرغم من عدم وجود توجيه نهائي للمسؤولية، فقد تم ربط SpyNote في السابق بحملات التجسس ضد العاملين في الدفاع الهندي ومع مجموعات التهديد المتقدمة مثل APT34 وAPT-C-37.

يأتي هذا الاكتشاف بعد موجة من التهديدات المماثلة التي استهدفت نظام الأندرويد، بما في ذلك البرمجيات الخبيثة ToxicPanda الأخيرة التي استهدفت تطبيقات البنوك. يوصي خبراء الأمن بتجنب تحميل التطبيقات من الأطراف الثالثة والاعتماد فقط على متاجر التطبيقات الموثوق بها.