استطاع برنامج خبيث جديد عامل على نظام هاتف أندرويد Android أن يصيب بنجاح أكثر من 10 ملايين جهاز في أكثر من 70 دولة حول العالم منذ نوفمبر 2020 على الأقل. وتشير الأرقام إلى أن أكثر من 200 تطبيق وقعوا ضحايا الهجوم، فيما يجني البرنامج ملايين الدولارات شهرياً لمشغليه.

الباحثون في شركة أمان الأجهزة المحمولة Zimperium اكتشفوا البرنامج الضار للمرة الأولى وأطلقوا عليه اسم GriftHorse. ويعود الحجم الهائل للأجهزة المصابة، من دون علم أحد، إلى طريقة التوزيع الجديدة التي اعتمدت على “التطبيقات الحميدة” المتاحة للتنزيل من متجر Google Play الرسمي ومتاجر تطبيقات Android التابعة لجهات خارجية. والتي جرت من دون أن يكشفها أي تطبيق أمني خاص بمكافحة الفيروسات والبرامج الضارة.

 

اشتراك هاتف أندرويد بخدمات الرسائل القصيرة!

إذا قام المستخدمون بتثبيت أي من هذه التطبيقات الضارة، فإن GriftHorse يبدأ في إغراق المستخدمين بالنوافذ المنبثقة والإشعارات التي تقدم العديد من الجوائز والعروض الخاصة.

عند النقر على أي منها، يتم إعادة توجيه المستخدمين إلى صفحة عبر الإنترنت تطلب منهم تأكيد رقم هاتفهم من أجل الوصول إلى العرض. ولكن في الواقع، عند القيام بذلك، يتم تسجيلهم بشكل سري في خدمات الرسائل القصيرة المتميزة التي تتقاضى 35 دولاراً بشكل شهري، وهي الأموال التي يتم إعادة توجيهها لاحقًا إلى جيوب مشغلي GriftHorse.

ومع وجود أكثر من 10 ملايين جهاز مصاب، تشير التقديرات إلى أن العصابة تدر دخلاً يتراوح بين 1.5 مليون دولار و 4 ملايين دولار شهرياً. ويعود نجاح GriftHorse وفق الباحثين إلى “جودة كود البرنامج الضار الذي استخدم مجموعة واسعة من مواقع الويب (194 نطاقًا) والتطبيقات الضارة، لإصابة المستخدمين وتجنب اكتشافهم قدر المستطاع.”

إصابة أكثر من 10 مليون هاتف أندرويد ببرنامج GriftHorse

امتد الهجوم إلى أكثر من 200 تطبيق موزع على 18 فئة مختلفة، بما في ذلك الأدوات والألغاز والتواصل والمواعدة ونمط الحياة والتمويل والسباق والترفيه والموسيقى والصوت والصحة واللياقة والإنتاجية والمحاكاة والطعام والشراب والرياضة والتعليم والألواح والعمل والتخصيص.

لحسن الحظ، تمت إزالة هذه التطبيقات بعد أن تواصلت Zimperium مع شركة غوغل. ولكن البرنامج الضار كان يعمل منذ نوفمبر 2020 على الأقل مما أثار تساؤلات عديدة بشأن مدى دقة المراجعات الأمنية التي يجريها متجر Google Play على التطبيقات.