مجرمو الإنترنت يستخدمون الويب المظلم لبيع تطبيقات «جوجل بلاي» الخبيثة

بعد إجراء تحليل لعروض التطبيقات الخبيثة على “جوجل بلاي” Google Play المعروضة للبيع على الويب المظلم، اكتشف خبراء كاسبرسكي أن تطبيقات الأجهزة المحمولة الخبيثة وحسابات مطوري المتاجر يُباع الواحد منها بما يصل إلى 20,000 دولار أمريكي.

وباللجوء إلى خدمة Kaspersky Digital Footprint Intelligence، قام الباحثون بجمع نماذج من تسعة منتديات مختلفة للويب المظلم، حيث تتم هناك عمليات شراء وبيع السلع والخدمات المتعلقة بالبرامج الخبيثة.

ويتناول التقرير كيفية ظهور التهديدات التي تباع عبر الويب المظلم على Google Play، كما يكشف أيضاً عن العروض المتاحة، ونطاق الأسعار وميزات الاتصال والاتفاقيات التي تعقد بين مجرمي الإنترنت.

ومع أن متاجر التطبيقات الرسمية تخضع لرقابة صارمة، قد يفشل القائمون على عملية الإشراف والرقابة أحياناً في اكتشاف التطبيقات الخبيثة قبل تحميلها. ويتم حذف مجموعة كبيرة من التطبيقات الخبيثة من Google Play كل عام، لكن بعد وقوع العديد من الضحايا.

ويجتمع مجرمو الإنترنت في دهاليز الويب المظلم، وهو مصطلح يُطلق على عالم رقمي كامل خفي يقوم على قواعد خاصة وأسعار السوق والمؤسسات الشهيرة، ويتم من خلاله شراء وبيع تطبيقات Google Play الخبيثة وخدمات إضافية للترقية، وحتى الإعلان عن إبداعاتهم.

وكما هي حال المنتديات الشرعية لبيع المنتجات، يعرض الويب المظلم أيضاً مختلف الاحتياجات للعملاء وبأسعار مختلفة. وحتى يتمكن هؤلاء المجرمون من نشر تطبيق خبيثة، فإن كل ما يحتاجون إليه هو إنشاء حساب على Google Play ورمز خبيثة للتنزيل (Google Play Loader).

ويتم شراء حساب المطور بسعر منخفض جداً يبلغ قرابة 200 دولار أمريكي، وقد يصل أحياناً إلى 60 دولاراً. وتتراوح تكلفة أدوات التحميل الخبيثة بين 2,000 إلى 20,000 دولار، ويتوقف ذلك على مدى تعقيد البرمجيات الخبيثة، وحداثة وانتشار رموزها، فضلاً عن عدد وأهمية الوظائف الإضافية الأخرى التي توفرها.

ويُقترح في أحيان كثيرة إخفاء البرامج الخبيثة التي يتم توزيعها تحت أدوات تعقب العملات المشفرة والتطبيقات المالية وأجهزة مسح رمز الاستجابة السريعة وحتى تطبيقات المواعدة. ويقوم المجرمون أيضاً بإبراز عدد مرات التنزيل للإصدار الشرعي من هذا التطبيق، ويعني ذلك عدد الضحايا المحتملين الذين قد تعرضوا للإصابة عن طريق تحديث التطبيق وإضافة رمز خبيثإليه. وتحدد الاقتراحات في الغالب بمستوى يصل إلى 5,000 عملية تنزيل أو أكثر.

ومقابل دفع رسوم إضافية، يقوم المجرم بإحداث تشويه لرمز التطبيق ليكون اكتشافه صعباً عبر حلول الأمن السيبراني. وحتى يكون قادراً على زيادة عدد التنزيلات لتطبيق خبيث، يقوم أيضاً بعرض عمليات التثبيت، أي توجيه حركة المرور عبر إعلانات Google وجذب المزيد من المستخدمين لتنزيل التطبيق. وتتفاوت تكلفة التثبيت من بلد لآخر، ويكون متوسط السعر 0.50 دولار، ويتراوح من 0.10 دولار إلى عدة دولارات. وفي أحد العروض التي تم اكتشافها، تزيد كلفة الإعلانات الموجهة للمستخدمين من الولايات المتحدة الأمريكية وأستراليا على 0.80 دولار.

ويقدم المحتالون ثلاثة أنواع من العمل، وهي: الحصول على حصة من الربح النهائي، أو الإيجار، أو الشراء الكامل للحساب أو التهديد. ويصل الأمر ببعض هؤلاء إلى عقد مزادات لبيع سلعهم، لأن العديد منهم يحددون عدد المنتجات المباعة. وعلى سبيل المثال، كان السعر المبدئي في أحد العروض التي تم العثور عليها 1,500 دولار أمريكي، وارتفع بواقع 700 دولار أمريكي في الخطوات الإضافية من المزاد، إلى أن بلغ سعر الشراء الفوري 7,000 دولار أمريكي.

وقد يعرض البائعون على الويب المظلم أيضاً خدمة نشر التطبيق الخبيثة للمشتري لتفادي التفاعل المباشر مع Google Play، لكن يبقى بمقدورهم تلقي جميع البيانات المكتشفة للضحايا عن بُعد. وفي مثل هذه الحالة، يبدو أنه يمكن للمطور خداع المشتري بسهولة، علماً أنه من الشائع بين البائعين المنتشرين عبر الويب المظلم الحفاظ على سمعتهم، أو حتى تقديم ضمانات على الوعود، وربما قبول الدفع بعد اكتمال شروط الاتفاقية. ولتقليل المخاطر عند عقد الصفقات، غالباً ما يلجأ المجرمون إلى خدمات الوسطاء المحايدين الذين يعرفون باسم “أصحاب حسابات الضمان”. وقد يكون هذا الضمان بمثابة خدمة خاصة ومدعومة من قبل منصة الظل، أو طرف ثالث غير مهتم بنتائج المعاملة.

وقالت أليسا كوليشينكو، خبيرة الأمن في كاسبرسكي: “تمثل تطبيقات الأجهزة المحمولة الخبيثة أحد أهم التهديدات الإلكترونية التي تستهدف المستخدمين، حيث تم اكتشاف ما يزيد على 1.6 مليون هجوم للهواتف المحمولة خلال العام الماضي 2022. وبالتوازي مع ذلك، تزداد أيضاً جودة حلول الأمن السيبراني التي تحمي المستخدمين من هذه الهجمات. ووجدنا في عالم الويب المظلم رسائل من مجرمي الإنترنتيشكون من صعوبة تحميل تطبيقاتهم الخبيثة على المتاجر الرسمية. لكن هذا يعني من جهة أخرى أنهم سيخرجون الآن بخطط أكثر تعقيداً، الأمر الذي يحتّم على المستخدمين البقاء في حالة تأهّب، والتحقق من التطبيقات التي يقومون بتنزيلها”.

يمكن العثور على المزيد من نماذج التهديدات على Google Play التي تم بيعها على الويب المظلم في التقرير الكامل على Securelist.

وللحفاظ على سلامتك من أي تهديدات قد تطال الأجهزة المحمولة، توصي كاسبرسكي بما يلي:

• تحقق من أذونات التطبيقات التي تستخدمها، وفكّر جيداً قبل السماح لأحد التطبيقات، خاصة عندما يتعلق الأمر بالأذونات عالية الخطورة، مثل الإذن باستخدام خدمات الوصول. ويكون الإذن الوحيد الذي يحتاج إليه التطبيق الرئيسي هو التطبيق المصباح (لا يتطلب حتى الوصول إلى الكاميرا).
• إن الاعتماد على أحد حلول الأمان الموثوقة يساعدك في اكتشاف التطبيقات الخبيثة وبرامج الإعلانات المتسللة قبل دخولها إلى جهازك والعبث بمحتوياته.
• يمتلك مستخدمو “آيفون” بعض عناصر التحكم في الخصوصية التي توفرها “أبل”، ويمكن للمستخدمين حظر وصول التطبيق إلى الصور وجهات الاتصال وميزات نظام تحديد المواقع الجغرافية، إذا كانوا يعتقدون أن هذه الأذونات غير ضرورية.
• قم بتحديث نظام التشغيل الخاص بك والتطبيقات المهمة حال توافر التحديثات. ويتم حل العديد من مشاكل الأمان عن طريق تثبيت إصدارات مُحدّثة من البرامج.

للاستعلام عن خدمات مراقبة التهديدات لمؤسستك، يرجى الاتصال بنا عبر البريد الإلكتروني.