يستخدم الاحتيال الإعلاني “Konfety” أكثر من 250 تطبيقًا من تطبيقات Google Play Decoy لإخفاء التوائم الخبيثة
ظهرت تفاصيل حول “عملية احتيال إعلانية ضخمة” تستفيد من مئات التطبيقات على متجر Google Play لتنفيذ مجموعة من الأنشطة الشائنة.
تمت تسمية الحملة باسم رمزي كونفيتي – الكلمة الروسية التي تعني Candy – نظرًا لإساءة استخدامها لمجموعة أدوات تطوير برامج إعلانات الهاتف المحمول (SDK) المرتبطة بشبكة إعلانية مقرها روسيا تسمى إعلانات الكراميل.
وقال فريق Satori Threat Intelligence Team التابع لـ HUMAN في تقرير تقني: “يمثل Konfety شكلاً جديدًا من أشكال الاحتيال والتعتيم، حيث تقوم الجهات الفاعلة في مجال التهديد بتشغيل إصدارات” التوأم الشرير “من تطبيقات” التوأم الخادع “المتوفرة في الأسواق الرئيسية”. تقرير تمت مشاركتها مع The Hacker News.
في حين أن التطبيقات الخادعة، التي يبلغ عددها الإجمالي أكثر من 250 تطبيقًا، غير ضارة ويتم توزيعها عبر متجر Google Play، يتم نشر “التوائم الشريرة” الخاصة بها من خلال حملة إعلانية ضارة مصممة لتسهيل الاحتيال في الإعلانات، ومراقبة عمليات البحث على الويب، وتثبيت ملحقات المتصفح، والتحميل الجانبي. كود ملفات APK على أجهزة المستخدمين.
الجانب الأكثر غرابة في الحملة هو أن التوأم الشرير يتنكر في هيئة توأم شرك من خلال انتحال معرف التطبيق الخاص بالأخير ومعرفات ناشري الإعلانات لعرض الإعلانات. تعمل كل من مجموعتي التطبيقات الخادعة والشريرة على نفس البنية التحتية، مما يسمح للجهات الفاعلة في مجال التهديد بتوسيع نطاق عملياتها بشكل كبير كما هو مطلوب.
ومع ذلك، لا تعمل التطبيقات الخادعة بشكل طبيعي فحسب، بل إن غالبيتها لا تعرض حتى الإعلانات. كما أنها تشتمل أيضًا على إشعار موافقة القانون العام لحماية البيانات (GDPR).
وقال باحثون من منظمة HUMAN: “إن آلية التشويش/التوأم الشرير هذه للتعتيم هي طريقة جديدة لممثلي التهديد لتمثيل حركة المرور الاحتيالية على أنها مشروعة”. “في ذروته، وصل حجم البرامج المتعلقة بـ Konfety إلى 10 مليارات طلب يوميًا.”
وبعبارة أخرى، تستفيد Konfety من إمكانات عرض الإعلانات في SDK لارتكاب عمليات احتيال في الإعلانات من خلال جعل التمييز بين حركة المرور الضارة وحركة المرور المشروعة أكثر صعوبة.
يقال إن تطبيقات Konfety evil twin يتم نشرها عبر حملة إعلانية ضارة تروج لتعديلات APK وبرامج أخرى مثل Letasoft Sound Booster، مع عناوين URL المفخخة المستضافة على النطاقات التي يسيطر عليها المهاجمون، ومواقع WordPress المخترقة، والأنظمة الأساسية الأخرى التي تسمح بتحميل المحتوى، بما في ذلك Docker Hub وFacebook وGoogle Sites وOpenSea.
تتم إعادة توجيه المستخدمين الذين ينتهي بهم الأمر بالنقر على عناوين URL هذه إلى نطاق يخدعهم لتنزيل تطبيق Twin evil الخبيث، والذي بدوره يعمل بمثابة قطارة للمرحلة الأولى التي يتم فك تشفيرها من أصول ملف APK ويتم استخدامه لإعداد اتصالات القيادة والتحكم (C2).
يحاول جهاز العرض الأولي أيضًا إخفاء رمز التطبيق من الشاشة الرئيسية للجهاز وتشغيل حمولة DEX للمرحلة الثانية التي تقوم بالاحتيال من خلال تقديم إعلانات فيديو خارج السياق بملء الشاشة عندما يكون المستخدم إما على شاشته الرئيسية أو يستخدم تطبيق آخر.
وقال الباحثون: “إن جوهر عملية Konfety يكمن في التطبيقات الشريرة”. “تحاكي هذه التطبيقات التطبيقات التوأم الخادعة المقابلة لها عن طريق نسخ معرف التطبيق/أسماء الحزم ومعرفات الناشر من التطبيقات التوأم الخادعة.”
“إن حركة مرور الشبكة المستمدة من تطبيقات التوأم الشريرة مطابقة وظيفيًا لحركة مرور الشبكة المستمدة من تطبيقات التوأم الخادع؛ وتستخدم مرات ظهور الإعلان التي تقدمها التوائم الشريرة اسم حزمة التوائم الخادعة في الطلب.”
تشمل القدرات الأخرى للبرامج الضارة استخدام CaramelAds SDK كسلاح لزيارة مواقع الويب باستخدام متصفح الويب الافتراضي، أو جذب المستخدمين عن طريق إرسال إشعارات تحثهم على النقر على الروابط الزائفة، أو تحميل الإصدارات المعدلة من حزم SDK الإعلانية الأخرى.
هذا ليس كل شئ. يتم حث المستخدمين الذين يقومون بتثبيت تطبيقات evil Twins على إضافة أداة شريط أدوات البحث إلى الشاشة الرئيسية للجهاز، والتي تراقب عمليات البحث خلسة عن طريق إرسال البيانات إلى النطاقات المسماة vptrackme[.]كوم وأنت تبحث[.]com.
وخلص الباحثون إلى أن “الجهات الفاعلة في مجال التهديد تدرك أن استضافة التطبيقات الضارة على المتاجر ليست تقنية مستقرة، وتجد طرقًا مبتكرة وذكية لتجنب الكشف وارتكاب عمليات احتيال مستدامة طويلة المدى”. “إن الجهات الفاعلة التي تقوم بإنشاء شركات SDK للوساطة ونشر SDK لإساءة استخدام الناشرين ذوي الجودة العالية هي تقنية متنامية.”
يأتي هذا الكشف بعد ما يزيد قليلاً عن ثلاثة أشهر من اكتشاف HUMAN لحملة تطبيقات Android VPN ضارة أخرى يطلق عليها اسم PROXYLIB والتي استفادت من SDK آخر من LumiApps لدمج وظائف البرامج الوكيلة دون موافقة المستخدمين أو معرفتهم.
“أرى استغلالًا لأدوات تطوير البرامج (SDK) المحمولة المتاحة بشكل مفتوح، مثل تلك التي تمت تغطيتها في تحقيق PROXYLIB وCaramelAds SDK المشمولة في هذا التحقيق كجزء من اتجاه أكبر حول إخفاء الوظائف الضارة بشكل أكثر فعالية، على نفس المنوال مثل بعض البرامج الضارة جدًا.” وقال ليندساي كاي، نائب رئيس استخبارات التهديدات في شركة HUMAN Security، لصحيفة The Hacker News: “هجمات سلسلة التوريد المعروفة وإساءة استخدام البرامج المشروعة”.
“مع اكتسابنا المزيد من المهارة في استئصال السلوك الضار وإيقافه، ستستمر الجهات الفاعلة في مجال التهديد في إيجاد طرق جديدة وأكثر فعالية لإخفاء برامجها الضارة أو استمرارها، مثل إصابة حزم SDK وطرق مثل “التوأم الشرير” الذي تمت مناقشته وأتوقع في هذا التقرير أن نرى تقنيات جديدة تظهر لجعل هذا الأمر ممكنًا.
وأضاف كاي أنه للتخفيف من المخاطر التي تشكلها مثل Konfety، يوصى بتنزيل التطبيقات فقط من متاجر التطبيقات الشرعية، والتأكد من تمكين Google Play Protect، وتوخي الحذر عندما يتعلق الأمر بالنقر على الروابط المشبوهة.
عند التواصل مع متحدث باسم Google للتعليق، أخبر The Hacker News أن الشركة كانت تراقب بنشاط أشكالًا مختلفة من تطبيقات التوأم الشريرة على واجهة متجر التطبيقات وتتخذ خطوات لحماية المستخدمين من التهديد.
“لقد تمت حماية المستخدمين ضد تطبيقات “التوأم الشرير” لأكثر من عام مع جوجل بلاي للحماية. يقوم Google Play Protect، الذي يتم تشغيله افتراضيًا على أجهزة Android المزودة بخدمات Google Play، بتحذير المستخدمين وتعطيل التطبيقات التي تم تحديدها على أنها تطبيقات “التوأم الشرير”.
(تم تحديث القصة بعد نشرها لتشمل تعليقات إضافية من HUMAN Security.)
إرسال التعليق