6 خدع يستخدمها المجرمون الإلكترونيون للاختباء داخل هاتفك
البرامج الضارة في متجر جوجل الرسمي لا تتوقف أبدًا عن الظهور، وبالنسبة إلى المجرمين الإلكترونيين، يعتبر الحصول على تطبيقاتهم الضارة في سوق التطبيقات الحقيقية بمثابة نصر كبير.
في حين أكتشف المحللون منهجيات جديدة لتحليل البرمجيات الخبيثة وتمكن المستخدمون من فهم كيفية عمل كل هذه الأمور، ويسعى مجرمو الإنترنت حاليا إلى إيجاد طرق جديدة للاختباء في الهواتف والأجهزة المختلفة.
ويمكن حصر الخدع المتطورة والمعقدة والتي تستخدم في زيادة فعالية الهجمات في فئتين مختلفتين: الأولى، استراتيجيات الهندسة الاجتماعية التي تسعى إلى إرباك المستخدمين، والثاني، الآليات التقنية المتطورة التي تحاول عرقلة اكتشاف وتحليل البرامج الضارة.
يلخص هذا التقرير بعض الأمور الشائعة لرموز أنظمة أندرويد الخبيثة على مدار السنوات القليلة الماضية.
1- الخداع على أساس الهندسة الاجتماعية
استخدم الحسابات الاحتيالية في "بلاي ستور" لتوزيع البرامج الضارة
البرامج الضارة في متجر جوجل الرسمي لا تتوقف أبدًا عن الظهور. بالنسبة لمجرمي الإنترنت، يعتبر التسلل إلى تطبيقاتهم الخبيثة في سوق التطبيقات الأصلية نصرا كبيرا، حيث يمكنهم الوصول إلى العديد من الضحايا المحتملين، وبالتالي الحصول على ضمان قوي لإحداث إصابات مختلفة ومتعددة في أجهزة المستخدمين.
والأكثر من ذلك هو أن "حسابات مطوري البرامج المزورة" تستخدم في نشر التطبيقات الغير آمنة أو الخبيثة والتي تحاول أن تبدو مشابهة بقدر الإمكان للحسابات الحقيقية، من أجل خداع المستخدمين المطمئنين الذين ينتهي بهم الأمر بإصابتهم بحالة إرتباك. ومثال على ذلك، اكتشف الباحثون تطبيقًا زائفًا لتحديث "واتس آب" استخدم خدعة شخصية لـلترميز الموحد Unicode لإعطاء الانطباع بأنه يتم توزيعه من خلال الحساب الرسمي.
2- الاستفادة من التواريخ التذكارية وتواريخ إصدار التطبيقات المجدولة
من الممارسات الشائعة في عالم الجريمة السيبرانية هو جعل البرامج الخبيثة تبدو وكأنها نسخ من التطبيقات الأصلية – وغالبا تكون تطبيقات الألعاب، والتي اكتسبت شعبية مفاجئة، سواء كان متوفرة أو لا تتوفر في المتاجر الرسمية لبلدان معينة. حدث هذا مع ألعاب Pokémon GO وPrisma وDubsmash، مسببة مئات الآلاف من الإصابات في جميع أنحاء العالم.
3- التغلغل والنوافذ المتراكبة
يُعتبر التغلغل (Tapjacking) تقنية تتضمن إلتقاط "النقر" على شاشة المستخدم عن طريق عرض تطبيقين متراكبين. لذلك يعتقد الضحايا أنهم ينقرون على التطبيق الذي يشاهدونه، لكنهم في الواقع ينقرون على التطبيق الأساسي، الذي يظل مخفيًا عن العرض ولا يمكن رؤيته.
وهناك إستراتيجية أخرى مشابهة تستخدم على نطاق واسع في برامج التجسس من أجل سرقة بيانات الاعتماد في أنظمة أندرويد، وهي النوافذ المتراكبة. في هذه الجريمة، تتعقب البرامج الضارة باستمرار التطبيق الذي يستخدمه المستخدم، وعندما يتزامن مع تطبيق موضوعي معين، فإنه يعرض مربع الحوار الخاص به الذي يشبه التطبيق الشرعي، ويطلب بيانات الاعتماد من المستخدم.
3- برمجيات خبيثة مموهة بين تطبيقات النظام
وإلى حد ما، فإن أسهل طريقة لإخفاء الرمز الخبيث على الجهاز هو تمريره كتطبيق في النظام والانتقال دون أن يلحظه أحد على قدر الإمكان. إن الممارسات الخاطئة مثل حذف أيقونة التطبيق بمجرد الانتهاء من التثبيت أو استخدام الأسماء والحزم والرموز الخاصة بتطبيقات النظام والتطبيقات الشائعة الأخرى هي استراتيجيات تظهر في الكود من أجل اختراق الجهاز مثل "تروجان" (Trojan) الذي تم تمريره على أنه Adobe Flash Player من أجل سرقة الاعتمادات.
4- محاكاة نظام وتطبيقات الأمان لطلب أذونات المسئول
نظرًا لأن نظام أندرويد منظم في الحد من أذونات التطبيق، تحتاج الكثير من الشفرات الضارة أذونات المسئول لتنفيذ وظائفها بشكل صحيح. ومنح هذا الإذن من قبل المسئول يزيد من صعوبة إلغاء تثبيت البرامج الضارة.
إن تمويه البرامج الضارة كأدوات أمنية أو تحديثات في النظام يمنح المجرمين الإلكترونيين مزايا معينة. وبشكل خاص فإنه يسمح لهم بحماية أنفسهم خلف مطور لبرامج تطبيقات موثوق به، وبالتالي لا يتردد المستخدمون في السماح للتطبيق بالوصول إلى الوظائف الإدارية على أجهزتهم.
6- شهادات الأمان التي تحاكي البيانات الحقيقية
يمكن أيضًا استخدام شهادة الأمان المستخدمة للتوقيع على ملف (APK) لتحديد ما إذا كان قد تم تغيير التطبيق أم لا. وعلى الرغم من أن معظم المجرمين الإلكترونيين يستخدمون سلاسل نصية عامة عند إصدار الشهادة، فإن الكثيرين منهم يواجهون مشكلة التظاهر بالبيانات التي تتوافق مع البيانات المستخدمة من قِبل المطور، مما يدفعهم للمزيد من تشويش المستخدمين الذين يقومون بهذه الفحوصات.