اكتشف خبراء كاسبرسكي لاب حديثًا نسخة معدلة من برمجية حصان طروادة الخبيثة Svpeng المتخفية في AdSense- الشبكة الإعلانية الخاصة بشركة جوجل.
وفي غضون فترة لم تتعد الشهرين، تمكن الخبراء من اكتشاف حملة Svpeng الخبيثة على الأجهزة العاملة بنظام التشغيل أندرويد لما يقرب من 330,000 مستخدم، إذ بلغت نسبة الإصابة ذروتها لتشمل 26,000 ضحية يوميًا.
وتحقيقًا لأغراضهم المشبوهة بالسطو على معلومات البطاقات المصرفية والبيانات الشخصية مثل جهات الاتصال وسجل المكالمات، لجأ القراصنة لاستغلال خلل في المتصفح جوجل كروم على أجهزة أندرويد. والآن، بعد أن قامت جوجل بإصلاح الخلل، أصبح بإمكان خبراء كاسبرسكي لاب الكشف عن التفاصيل الكاملة لهذا الهجوم.
يذكر أن الحالة الأولى من حملة Svpeng الخبيثة كانت قد ظهرت في منتصف شهر تموز/يوليو على إحدى البوابات الإخبارية الروسية على الإنترنت. وخلال الهجوم، قام حصان طروادة بإجراء تحميل ذاتي له خلسة على الأجهزة بنظام أندرويد لمتصفحي الموقع الإلكتروني.
وفي سياق عملية الكشف عن الهجوم، وجد باحثو كاسبرسكي لاب أن الحملة بدأت انطلاقًا من أحد الإعلانات المصابة المعروضة في منصة جوجل AdSense. وتم عرض الاعلان بشكل اعتيادي على صفحات الويب غير المصابة، وكان يتم تحميل حصان طروادة عند قيام المستخدم بالدخول إلى الصفحة عن طريق متصفح كروم المثبت على أجهزة أندرويد.
وكانت Svpeng متخفية على شكل تحديثات مهمة للمتصفح أو كتطبيق عام لإقناع المستخدم بقبول التثبيت. وبمجرد أن يتم تفعيل البرمجية الخبيثة سرعان ما تتلاشى من على قائمة التطبيقات المثبتة وتطلب من المستخدم إعطائها حقوق إداري الجهاز. وهذا ما جعل اكتشاف هذه البرمجية الخبيثة أكثر صعوبة.
وعلى ما يبدو أن المهاجمين قد وجدوا طريقة لتخطي بعض مزايا الأمان الرئيسية المطبقة في جوجل كروم لأجهزة أندرويد. وفي الأحوال الاعتيادية، عندما يتم تحميل ملف APK على أي جهاز متنقل بواسطة رابط ويب خارجي، يقوم المتصفح بعرض تحذير مفاده أن هناك مادة تنطوي على مخاطر محتملة يجري تحميلها الآن.
وفي هذه الحالة، وجد المحتالون خللًا أتاح لهم تنزيل ملفات APK دون لفت انتباه المستخدمين. وبعد اكتشاف الخلل مباشرة، قامت كاسبرسكي لاب بإبلاغ جوجل بهذا الأمر. وسيتم طرح نسخة إصلاح هذه الثغرة الأمنية في الإصدار التالي لبرنامج جوجل كروم الخاص بتحديثات أندرويد.
وتحدث نيكيتا بوشكا، محلل برمجيات خبيثة في كاسبرسكي لاب قائلًا، تؤكد حملة Svpeng الخبيثة مجددًا، مدى أهمية التعاون بين الشركات. فنحن لدينا هدف مشترك يتمثل في حماية المستخدمين من الهجمات الإلكترونية، ومن المهم أن نعمل عن كثب ونوحّد جهودنا لتحقيق هذا الهدف. وبإمكان المستخدمين أيضًا المساعدة في ذلك من خلال امتناعهم عن تحميل التطبيقات من مصادر غير موثوقة والتفكير مليًا بالتفويضات التي تطلب منهم والتساؤل عن سببها.
وتوصي كاسبرسكي لاب العملاء بتثبيت حلول أمنية فاعلة وبتوخي الحذر تجاه الأدوات والتقنيات المستخدمة من قبل مصممي البرمجيات الخبيثة لخداعهم وحثهم على تثبيت البرامج الخبيثة وقبول منح حقوق ادارة الجهاز عن بعد.
يُشار إلى أن برمجية حصان طروادة الخبيثة Svpeng الموجهة صممت للقنوات المصرفية عبر الأجهزة المتنقلة لسرقة معلومات البطاقات البنكية. وكذلك جمع سجل المكالمات الصادرة والواردة والرسائل النصية والوسائط المتعددة والقوائم المفضلة للمتصفح وجهات الاتصال.
وتستهدف حملة Svpeng على وجه الخصوص الدول الناطقة باللغة الروسية، ومع ذلك، هناك احتمال أن تتوسع إلى دول أخرى حول العالم. ونظرًا لطبيعة انتشار هذه البرمجية الخبيثة المحددة، فإن الملايين من صفحات الويب معرضة للمخاطر، خاصة وأن الكثير منها تستخدم منصة AdSense لعرض الإعلانات التجارية.