لقد وجد باحثو كاسبيرسكي دليلاً على أن التطبيقات موجودة داخل متجر Play منذ سنوات ، وتوزع البرامج الضارة على مستخدمي Android. تمكنت التطبيقات من سرقة البيانات من مالكي الأجهزة وتم إنشاؤها بواسطة مجموعات من المتسللين ، الذين كانوا يغذون مستودع Google الرسمي منذ عام 2016.
على الجانب الإيجابي ، تقول جوجل أنها أزالت التطبيقات ، بعد التنبيه مباشرة من أن فريق الباحثين في الشركة الروسية حذر عملاق البحث. من ناحية أخرى ، إذا كان مالك المتجر يعمل بسرعة في متجر Play ، فلن يكون القلق في مستودعات APK هو نفسه ولا تزال بعض التطبيقات متاحة في APKpure.
للتحايل على نظام Google للكشف عن البرامج الضارة ، أرسل المخترقون تطبيقًا دون أي عيوب للتقييم ، ثم تم إصدار التنزيل وأدخل الفريق الباب الخلفي في التحديث. تشتمل الطريقة الأخرى على عدم طلب أي وصول إلى الجهاز في وقت التثبيت ، ولكن بعد ذلك حسب الحاجة ، إدخال البرامج الضارة.
بمجرد التثبيت ، يمكن للتطبيقات قراءة معلومات مثل إصدار Android الذي يتم تشغيله على الأداة وحتى قائمة التطبيقات المثبتة. مع وجود القائمة في متناول اليد ، تم إنشاء تهمة هجوم خصيصًا لكل جهاز ، والحصول على بيانات أخرى مثل قائمة المكالمات وجهات الاتصال والرسائل النصية. ساعد وضع الهجوم المخصص هذا أيضًا عندما لم يكتشفه Google Play Protect.
يعتقد باحثو كاسبيرسكي ، إلى جانب آخر من BlackBerry ، أن الهجمات تم إنشاؤها بواسطة مجموعة OceanLotus. تركز المجموعة على آسيا ، أعضاء في حكومة الصين وفيتنام ، بالهجوم الأخير على وزارة إدارة الطوارئ في الصين. في ذلك الوقت ، كان الهدف من البرامج الضارة هو الحصول على معلومات تتعلق بتفشي COVID-19.
مع المعلومات: ZDNet و Ars Technica.
