اكتشف باحثو كاسبرسكي مجموعة ترجانات جديدة تستهدف مستخدمي متجر Google Play منها تروجان المخصصة للاشتراك. وينتشر هذا تروجان الذي يحمل اسم Fleckpe عبر برامج تحرير الصور والخلفيات، ما يؤدي إلى إشراك المستخدمين دون إدراك منهم في الخدمات المدفوعة. وتمكن هذا البرنامج حتى الآن من إصابة ما يزيد على 620 ألف جهاز منذ اكتشافه في العام 2022، كما ينتشر ضحاياه في جميع أنحاء العالم.
ويتم تحميل التطبيقات الخبيثة إلى متجر Google Play من وقت لآخر، ومن بين هذه البرامج تروجانات المخصصة للاشتراك، وهي أصعب البرامج من نوعها على الإطلاق. وتمرّ هذه البرامج في الغالب من دون أن يلاحظها أحد، إلى أن يدرك الضحية أنه قد تم تحصيل رسوم مقابل خدمات لم يقم أبداً بشرائها. ويخترق هذا النوع من البرامج الخبيثة طريقه إلى السوق الرسمي لتطبيقات “أندرويد”، وهناك نموذجان حديثان منهما، وهما مجموعتا Jocker و Harly اللتين تم اكتشافهما مؤخراً.
وتعتبر مجموعت تروجانات الجديدة Fleckpe، أحدث اكتشافات كاسبرسكي التي تنتشر عبر متجر Google Play تحت ستار برامج تحرير الصور وحزم الخلفيات والتطبيقات الأخرى. ويشترك المستخدم بصورة غير متعمدة في الخدمات المدفوعة.
وتشير بيانات كاسبرسكي إلى أنه تم هذا التروجان منذ العام 2022، واكتشف باحثو الشركة وجود ما لا يقل عن 11 تطبيقاً مصاباً ببرنامج Fleckpe، وتم تثبيتها على أكثر من 620 ألف جهاز. ورغم إزالة التطبيقات من السوق بحلول الوقت الذي نُشر فيه تقرير كاسبرسكي، يرجح أن يواصل
المجرمون السيبرانيون نشر هذه البرامج الخبيثة في تطبيقات أخرى، ما يعني أن العدد الحقيقي لحجم الانتشار ربما يكون أعلى بكثير.
ويقوم تطبيق Fleckpe المصاب بإطلاق مكتبة أصلية شديدة الغموض تحتوي على أداة حقن للمحتوى الخبيث، وتكون مسؤولة عن فك تشفير وتشغيل الحمولة من أصول التطبيق. وتعمل هذه الحمولة بعدها على إنشاء رابط اتصال بخادم القيادة والتحكم للمهاجمين، وتعمل على نقل المعلومات المتعلقة بالجهاز المصاب، بما في ذلك البلد وتفاصيل الناقل. وبعد ذلك، يتم توفير صفحة اشتراك مدفوعة، ثم يقوم التروجان بتشغيل متصفح شبكي بطريقة سرية، ويحاول الاشتراك في الخدمة المدفوعة نيابة عن المستخدم. وإذا تطلب الاشتراك إدخال رمز التأكيد، يتمكن البرنامج الخبيث من الوصول إلى إشعارات الجهاز للاستحواذ عليها.
وبهذه الطريقة، يستطيع التروجان إشراك المستخدمين في خدمة مدفوعة من دون موافقتهم، ما يؤدي إلى إلحاق خسارة مالية بالضحية. ومن المثير للاهتمام حول هذه الممارسات، أن وظائف التطبيق لا تتأثر مطلقاً، ويمكن للمستخدمين الاستمرار في تعديل الصور أو تعيين الخلفيات دون إدراك منهم أنه تم تحصيل رسوم عليهم مقابل الخدمة.
وقال ديمتري كالينين، الباحث الأمني في كاسبرسكي.”زاد انتشار تروجانات المخصصة للاشتراك التي ينشرها المحتالون في الآونة الأخيرة. وتحول مجرمو الإنترنت الذين يستخدمونها بشكل متزايد إلى الأسواق الرسمية، مثل متجر Google Play لنشر برامجهم الخبيثة. وعلى ضوء التعقيد المتزايد الذي اكتسبته التروجانات، فقد تمكنت من تجاوز العديد من اختبارات مكافحة البرامج الخبيثة التي تجريها الأسواق، وهذا يعني أنها بقيت غير مكتشفة لفترات طويلة من الزمن. وفي الغالب، يفشل المستخدمون المتأثرون في اكتشاف هذه الاشتراكات غير المرغوب فيها على الفور، ناهيك عن عدم معرفة بكيفية اشتراكهم فيها. ولهذا السبب، يصبح تروجانات المخصصة للاشتراك مصدراً موثوقاً للدخل غير القانوني في أعين مجرمي الإنترنت”.
