كتب: محرر الأقباط متحدون
أنتشر مؤخرًا عددًا من التطبيقات الخاصة والمساعدة للعبة بوكيمون جو Pokemon Go على متجر جوجل للتطبيقات، لديها قدرة السطو على صلاحيات المستخدم والنواة في نظام أندرويد المشغل لأجهزة الهواتف الذكية، واستخدام ذلك لتثبيت وإزالة التطبيقات وعرض الإعلانات غير المرغوب فيها، وكان أبرز هذه التطبيقات يعرف باسمGuide for Pokémon Go.

وقام المستخدمون بتحميل هذا التطبيق لأكثر من نصف مليون مرة، وأدى ذلك إلى تسجيل أكثر من ستة آلاف إصابة ناجحة، قبل حذف شركة جوجل للتطبيق الذي يحمل برمجية حصان طروادة الخبيثة التي تم اكتشافها من قبل شركة كاسبرسكي لاب، حسبما أفادت الاقتصادية.

وتتيح برمجية حصان طروادة الخبيثة بعض المزايا المثيرة للاهتمام من شأنها أن تساعد على تخطي برامج الكشف، حيث لا يتم تفعيل هذه البرمجية لحظة قيام الضحية بتشغيل التطبيق، وبدلًا من ذلك، تنتظر حتى يقوم المستخدم بتثبيت أو إزالة تطبيق آخر، وبعد ذلك تقوم بالتحقق لمعرفة ما إذا كان هذا التطبيق يعمل على جهاز حقيقي أو افتراضي. وفي حال كان التطبيق يعمل على جهاز حقيقي، تنتظر برمجية حصان طروادة لمدة ساعتين إضافيتين قبل أن تباشر نشاطها الخبيث، ولن تكون الإصابة مضمونة حتى بعد انقضاء تلك المهلة.

وبعد الاتصال بخادم التحكم والسيطرة وتحميل تفاصيل الجهاز المصاب، بما في ذلك الدولة، واللغة، وموديل الجهاز ونظام التشغيل، تنتظر برمجية حصان طروادة الخبيثة لتسلّم الرد. وبعد أن تتلقى استجابة من المصدر، تقوم البرمجية الخبيثة بمواصلة تنفيذ مزيد من الطلبات وتحميل وتثبيت وتنفيذ أنماط البرمجيات الخبيثة الإضافية.

 وهذا النمط التشغيلي يشير إلى أنه بإمكان خادم التحكم والسيطرة، إيقاف استمرار الهجوم في نقطة ما في حال الرغبة في تخطي مجموعة معينة من المستخدمين فقط لأنه لا يريد استهدافهم، أو تخطي أنواع أخرى من الأجهزة التي يشتبه بأنها وهمية أو افتراضية. وهذا بدوره يوفر طبقة إضافية من الحماية للبرمجية الخبيثة.

وبمجرد تفعيل صلاحيات نظام أندرويد، تقوم برمجية حصان طروادة الخبيثة بتثبيت أنماطها في مجلدات نظام الجهاز، ثم تقوم خلسة بتثبيت وإزالة التطبيقات الأخرى وعرض الإعلانات غير المرغوب فيها للمستخدم. وقد نتج عن ظاهرة Pokémon Go عديد من التطبيقات المشابهة بسبب الاهتمام المتزايد من جانب مجرمي الإنترنت.

 وكشفت نتائج تحليلات كاسبرسكي لاب لتطبيق Guide for Pokémon Go عن وجود شفرة خبيثة تقوم بتحميل برمجية التجذير الخبيثة، وهو ما يضمن الوصول إلى نواة نظام التشغيل أندرويد لأغراض تثبيت وإزالة التطبيق إضافة إلى عرض الإعلانات. ويظهر تحليل كاسبرسكي لاب أن هناك إصدارا واحدا على الأقل من تطبيق Pokémon Guide الخبيث قد كان موجودا في متجر جوجل بلاي. إضافة إلى ذلك، رصد الباحثون وجود ما لا يقل عن تسعة تطبيقات أخرى مصابة ببرمجية حصان طروادة الخبيثة نفسها وكانت موجودة في متجر في أوقات مختلفة منذ ديسمبر 2015.

وأكد رومان يوناشيك، محلل أول للبرمجيات الخبيثة في كاسبرسكي لاب، "في عالم الإنترنت، حيثما يتوجه المستهلكون، نجد هناك مجرمي الإنترنت الذين سرعان ما يتتبعون أثرهم، وتطبيق Pokémon Go ليس استثناء من ذلك. وقد لا يلاحظ ضحايا هذه البرمجية على الأقل في بداية الإصابة الزيادة في الإعلانات غير المرغوب فيها، إلا أن الآثار طويلة المدى لهذه الإصابة قد يكون لها تداعيات أسوأ بكثير.

وأوضح " يوناشيك"، أنه في حال وقعت ضحية لهذه البرمجية الخبيثة، فاعلم أن هناك شخصا ما داخل هاتفك المتحرك ويسيطر كليًا على نظام التشغيل الخاص بجهازك ويتجسس على كل ما تقوم به من أفعال وما تخزنه من معلومات، على الرغم من أنه قد تمت إزالة التطبيق كليا من المتجر، لا يزال هناك ما يصل إلى نصف مليون شخص معرضين للإصابة بهذا التطبيق".