تم تنزيل أكثر من 300 تطبيق Android الخبيث 60 مليون عنصر من Google Play كبرامج إعلانية أو حاول سرقة بيانات الاعتماد ومعلومات بطاقة الائتمان.
كانت العملية أولاً”https://integralads.com/insider/ias-threat-lab-fraud-scheme-fake-android-apps/” الهدف=”_blank” rel=”nofollow noopener”> كشفه معمل التهديد IAS، من قام بتصنيف النشاط الضار تحت الاسم “Vapor” وقال إنه مستمر منذ أوائل عام 2024.
حدد IAS 180 تطبيقًا كجزء من حملة VAPOR ، مما يولد 200 مليون طلب عرض إعلاني احتيالي يوميًا للمشاركة في احتيال إعلانات واسعة النطاق.
زاد تقرير تم نشره حديثًا من قبل Bitdefender من عدد التطبيقات الضارة إلى 331 ، حيث أبلغ عن العديد من العدوى في البرازيل والولايات المتحدة والمكسيك وتركيا وكوريا الجنوبية.
“The apps display out-of-context ads and even try to persuade victims to give away credentials and credit card information in phishing attacks,” يحذر bitdefender.
على الرغم من أن جميع هذه التطبيقات قد تمت إزالتها منذ ذلك الحين من Google Play ، إلا أن هناك خطرًا كبيرًا من أن Vapor سيعود عبر تطبيقات جديدة لأن ممثلي التهديد قد أظهروا بالفعل القدرة على تجاوز عملية مراجعة Google.
تطبيقات البخار على Google Play
التطبيقات المستخدمة في حملة VAPOR هي الأدوات المساعدة التي تقدم وظائف متخصصة مثل تتبع الصحة واللياقة ، وأدوات تدوين الملاحظات والمذكرات ، ومحللات البطارية ، وماسحات برمجية QR.
تقوم التطبيقات بتمرير مراجعات أمان Google لأنها تتضمن الوظائف التي تم الترويج لها ولا تحتوي على مكونات ضارة في وقت التقديم. بدلاً من ذلك ، يتم تنزيل وظيفة البرامج الضارة بعد التثبيت عبر التحديثات التي يتم تسليمها من خادم أمر وتحكم (C2).
المصدر: مختبر التهديد IAS
بعض الحالات البارزة التي أبرزها Bitdefender و IAS هي:
- Aquatracker – 1 مليون تنزيل
- Clicksave Downloader – 1 مليون تنزيل
- مسح الصقور – 1 مليون تنزيل
- تعقب وقت الماء – 1 مليون تنزيل
- كن أكثر – 1 مليون تنزيل
- Beatwatch – 500000 تنزيل
- Translatescan – 100000 تنزيل
- محدد موقع الهاتف – 50000 تنزيل.
يتم تحميلها على Google Play من مختلف حسابات المطورين ، كل منها يدفع سوى عدد قليل إلى المتجر ، حتى لا يخاطر بالاضطراب العالي في حالة الإزالة. لأسباب مماثلة ، يستخدم كل ناشر إعلانات مختلفة SDK.
تم نشر معظم تطبيقات Vapor على Google Play بين أكتوبر 2024 و January 2025 ، على الرغم من أن التحميلات استمرت حتى مارس.
bitdefender
وظائف خبيثة
تقوم تطبيقات Vapor الضارة بإيقاف تشغيل نشاط المشغل في ملف AndroidManifest.xml بعد التثبيت ، مما يجعلها غير مرئية. في بعض الحالات ، يعيدون تسمية أنفسهم في الإعدادات ليظهروا كتطبيقات شرعية (على سبيل المثال ، Google Voice).
تقوم التطبيقات بتشغيلها دون تفاعل المستخدم واستخدام الكود الأصلي لتمكين مكون مخفي ثانوي مع الحفاظ على تعطيل المشغل للحفاظ على الرمز مخفيًا.
يعلق Bitdefender أن هذه الطريقة تتجاوز حماية الأمان Android 13+ التي تمنع التطبيقات من تعطيل أنشطة المشغل الخاصة بهم بشكل ديناميكي بمجرد نشطها.
يتجاوز البرامج الضارة أيضًا قيود “System_alert_window” على Android 13+ وإنشاء شاشة ثانوية تعمل كتراكب ملء الشاشة.
يتم عرض الإعلانات على هذه الشاشة ، التي يتم تراكبها فوق جميع التطبيقات الأخرى ، تاركًا للمستخدم أي طريقة للخروج مع تعطيل زر “الخلفية”.
يزيل التطبيق أيضًا نفسه من “المهام الحديثة” ، لذلك لا يمكن للمستخدم تحديد التطبيق الذي أطلق الإعلان الذي حصلوا عليه للتو.
تشير Bitdefender إلى أن بعض التطبيقات تتجاوز الاحتيال في الإعلانات ، حيث تعرض شاشات تسجيل الدخول المزيفة لـ Facebook و YouTube لسرقة بيانات الاعتماد أو المستخدمين على إدخال معلومات بطاقة الائتمان تحت ادعاءات مختلفة.
يوصى عمومًا بأن يتجنب مستخدمو Android تثبيت تطبيقات غير ضرورية من الناشرين غير القابل للتشكيل ، وتدقيق الأذونات الممنوحة ، ومقارنة درج التطبيق مع قائمة التطبيقات المثبتة من الإعدادات → التطبيقات → انظر جميع التطبيقات.
القائمة الكاملة لجميع التطبيقات الضارة 331 التي تم تحميلها على Google Play”https://github.com/bitdefender/malware-ioc/blob/master/vapor_malware/packages.csv” الهدف=”_blank” rel=”nofollow noopener”> متاح هنا.
إذا اكتشفت أنك قمت بتثبيت أي من هذه التطبيقات ، فقم بإزالتها على الفور وقم بإجراء فحص كامل للنظام باستخدام Google Play Protect (أو غيرها من منتجات AV المحمول).
اتصلت BleepingComputer بوجود Google للحصول على تعليق على حملة Vapor ، لكن بيان لم يكن متاحًا بحلول وقت النشر.