تكشف شركة Dr.Web في تقرير لها صدر مؤخرًا عن سلالة جديدة من البرمجيات الخبيثة المخصصة لأجهزة أندرويد. تستخدم هذه البرمجية مكتبة تعلم آلي مفتوحة المصدر من جوجل لتوليد نقرات إعلانية بشكل سري. وتؤكد الدراسة أن البرمجية تتكيف مع تغيّر صيغ الإعلانات وتخطيطها بما في ذلك الإعلانات المدمجة ديناميكيًا. كما تشير النتائج إلى ارتفاع مستوى تعقيد أساليب الاحتيال الموجّهة للهواتف المحمولة.
توضح النتائج أن البرمجية تعمل في وضع خفي يُعرف بوضع الشبحي. تُشغَّل نافذة WebView مخفية وتُحمَّل فيها الإعلانات وتُنقر في الخلفية. يتكيف هذا الأسلوب مع تغيّر صيغ الإعلانات وتخطيطات العرض بما في ذلك الإعلانات المدمجة ديناميكيًا. إذا فشلت التفاعلات الآلية، يمكن للبرمجية الانتقال إلى وضع يتيح للمهاجمين السيطرة اليدوية عبر تقنيات مثل WebRTC، مما يؤدي إلى زيادة معدلات النقر وتداعيات محتملة كتزايد استهلاك البطارية والبيانات وتراجع الأداء.
طرق الانتشار والتوصيات الأمنية
تشير النتائج إلى أن التهديد ينتشر أساسًا عبر ألعاب أندرويد بسيطة. وقد وجدت عينات مصابة في متجر GetApps التابع لمصنّع الأجهزة، إضافة إلى توزيعها على منصات APK خارجية مثل Apkmody وModdroid وقنوات على تطبيقات تيليغرام تروّج لنسخ معدلة من تطبيقات شهيرة. وتؤكد الدراسة أن هذه الحزم الخبيثة قد تظهر بعد تحديثات لاحقة على التطبيقات المصابة.
ولتقليل المخاطر، توصي الجهات الأمنية المستخدمين بتجنب تثبيت التطبيقات من مصادر غير رسمية. كما يجب تفعيل ميزة Google Play Protect ومراجعة أذونات التطبيقات بشكل دوري. ويجب الحفاظ على تحديث الجهاز وإجراء فحوصات أمنية منتظمة للحد من تعرض الهواتف للتهديدات المدعومة بالذكاء الاصطناعي.
