عثر باحثون من شركة (زيمبريوم) Zimperium على حملة احتيال هائلة أصابت الملايين من مستخدمي نظام التشغيل أندرويد التابع لشركة جوجل، وأوضحت في مدونة لها الطرائق التي اتبعها المتسللون في الحملة الجديدة.

ومع أن شركة جوجل اتخذت خلال السنوات الماضية العديد من الإجراءات الصارمة التي تمنع التطبيقات الضارة من الوصول إلى متجر (جوجل بلاي) Google Play، ولكن يبدو أن تلك الإجراءات لا تزال عاجزة تمامًا عن منع حملات الاحتيال. إذ اكتشف باحثون من شركة Zimperium المتخصصة في أمن الأجهزة المحمولة حملة جديدة انطوت على 200 تطبيق وأكثر من 100 ملايين ضحية محتملة.

وقال الباحثون أن حملة الاحتيال هذه، التي أطلقوا عليها اسم GriftHorse، والتي تستهدف مستخدمي أندرويد بدأت منذ شهر تشرين الثاني/ نوفمبر 2020. وكالعادة في مثل هذه الحملات، تمكن المتسللون من التسلل من خلال تطبيقات تبدو شرعية، مثل: Handy Translator Pro، و Heart Rate and Pulse Tracker، و Bus – Metrolis 2021.

وأوضح باحثون Zimperium أنه بعد تنزيل إحدى تلك التطبيقات الضارة، فإنها تُمطر المستخدم بوابل من الإشعارات، وذلك بمعدل 5 خلال الساعة الواحدة، وتطلب تلك الإشعارات من المستخدم رقم هاتفه للحصول على جائزة. وبإدخال رقم الهاتف في صفحة المطالبة بالجائزة المزعومة – التي تُحمّل في صفحة ويب ضارة – فإن المستخدم يكون قد وافق على دفع مبلغ شهري يبلغ نحو 42 دولارًا أمريكيًا من خلال الاشتراك في خدمة الرسائل النصية القصيرة SMS المميزة. وهي آلية تجعل المستخدم عادةً يدفع للخدمات الرقمية، أو يرسل المال إلى الجمعيات الخيرية من خلال الرسائل النصية، وفي هذه الحالة، فإن تلك المبالغ تذهب مباشرة إلى المحتالين.

ومع أن هذه التقنيات شائعة في تطبيقات (جوجل بلاي) الضارة، إلا أن الاحتيال باستخدام رسائل SMS المميزة تحديدًا يعد قضية شائكة. ويرى الباحثون أنه من المهم الإشارة إلى أن المهاجمين تمكنوا من الاستفادة من هذه الأساليب الاحتيالية المعروفة بطريقة لا تزال فعالة للغاية، خاصةً بالنظر إلى ما تبذله شركة مايكروسوفت في حماية متجر تطبيقاتها من التطبيقات الاحتيالية التي تستخدم هذه التقنيات.

وقال باحثو شركة Zimperium: إن عملية الاحتيال استهدفت المستخدمين في أكثر من 70 دولة، وقد تعمدت التحقق من عناوين IP الخاصة بالمستخدمين للوصول إلى مناطق بعينها. وكان التطبيق الضار يعرض صفحات ويب تستخدم اللغة المحلية للضحايا لجعل الأمر أكثر إقناعًا. وقد كان المحتالون حذرين في أن لا يكرروا استخدام عناوين الويب URL ذاتها، بهدف منع الباحثين الأمنيين من تعقبهم. ثم إن المحتوى الذي نشروه على صفحات الويب الاحتيالية كان عالي الجودة، بدون أخطاء مطبعية أو نحوية، الأمر الذي يجعله يبدو وكأنه صادر عن جهة رسمية.

تجدر الإشارة إلى أن شركة Zimperium هي عضو في (تحالف الدفاع عن التطبيقات) App Defense Alliance التابع لجوجل، وهو تحالف من الشركات الخارجية التي تعمل على حماية متجر جوجل من التطبيقات الضارة، ويأتي الكشف عن حملة GriftHorse بوصفه جزءًا من ذلك التعاون.

ومن جانبها، قالت جوجل: إن جميع التطبيقات التي وجدتها Zimperium في الحملة قد أُزيلت من متجر (جوجل بلاي)، وقد حظرت مطوري تلك التطبيقات المتآمرين مع المحتلين.

ومع ذلك، فقد أشارت الشركة الأمنية إلى أن تلك التطبيقات – التي قد نُزِّل بعضها مئات الآلاف من المرات – لا تزال متاحةً عبر متاجر التطبيقات الخارجية. كما أشارت إلى أنه في حال تمكن المحتالون من خداع موظفي الشركات الكبيرة، فإن عملية سحب الأموال غير الشرعية قد تستمر لسنوات دون أن تُكتشف.