تطور خطير: تطبيقات Dropper على أندرويد توزع برمجيات تجسس وسرقة SMS في آسيا

حذر باحثو الأمن السيبراني من تحول جديد في مشهد البرمجيات الخبيثة على أندرويد، حيث بدأت تطبيقات Dropper، التي كانت تُستخدم عادةً لتوزيع أحصنة طروادة المصرفية، في نشر برمجيات أبسط مثل سرقة رسائل SMS وبرمجيات التجسس.

أسلوب الهجوم الجديد

وفقًا لشركة ThreatFabric الهولندية للأمن السيبراني:

• يتم نشر هذه الحملات عبر تطبيقات Dropper تتنكر في شكل تطبيقات حكومية أو مصرفية في الهند وأجزاء أخرى من آسيا.

• السبب وراء التغيير هو الإجراءات الأمنية الجديدة التي اختبرتها Google في أسواق مثل سنغافورة، تايلاند، البرازيل، والهند لحظر تثبيت التطبيقات المشبوهة التي تطلب أذونات حساسة (مثل الرسائل النصية وخدمات إمكانية الوصول).

لكن المهاجمين لجأوا إلى تطوير Droppers جديدة لا تطلب أذونات عالية الخطورة مباشرة، بل تعرض شاشة “تحديث” عادية، وفقط عند النقر على زر “Update” يتم جلب الحمولة الضارة من خادم خارجي.

ثغرات في حماية Google Play Protect

رغم أن Google Play Protect قد يعرض تحذيرات للمستخدمين، إلا أن:

• التطبيق يتم تثبيته إذا وافق المستخدم يدويًا على “Install anyway”.

• عندها، تُمنح الأذونات المطلوبة وتُثبت البرمجيات الخبيثة.

قالت ThreatFabric:

“هذه الفجوة الحرجة تسمح بمرور التطبيقات الضارة رغم وجود برنامج الحماية إذا ضغط المستخدم على التثبيت يدويًا.”

أمثلة على تطبيقات Dropper الضارة

من أبرز التطبيقات التي تم رصدها عبر أداة RewardDropMiner في الهند:

• PM YOJANA 2025 (com.fluvdp.hrzmkgi)

• RTO Challan (com.epr.fnroyex)

  اقرأ أيضًا...

  • كيف يساعد Claude في تحسين إدارة المهام عبر تكامله مع Notion
  • أبرز أخبار التكنولوجيا هذا الأسبوع: من طفرة الإنفاق على الذكاء الاصطناعي إلى مستقبل الطاقة والروبوتات
  • منيفاي Munify: بنك رقمي للمغتربين المصريين يجمع 3 ملايين دولار بدعم Y Combinator
  • كاميرا RealSense D555 الجديدة تعزز الشراكة مع NVIDIA لتطوير الروبوتات الذكية
  • الهجمات السيبرانية تستغل أداة Velociraptor الشرعية وتنقل الاحتيال إلى Microsoft Teams

• SBI Online (com.qmwownic.eqmff)

• Axis Card (com.tolqppj.yqmrlytfzrxa)

كما ظهرت متغيرات أخرى مثل: SecuriDropper، Zombinder، BrokewellDropper، HiddenCatDropper، وTiramisuDropper.

تعليق Google

صرحت جوجل لـ The Hacker News أنها لم تجد أيًا من هذه التطبيقات في متجر Google Play، مؤكدة أن أنظمة الحماية يتم تحديثها باستمرار:

“حتى لو جاء التطبيق من Dropper خارجي، فإن Play Protect يتحقق تلقائيًا من التهديدات.”

حملات Malvertising على فيسبوك

بالتوازي، حذرت Bitdefender Labs من حملة Malvertising جديدة تستهدف مستخدمي أندرويد وWindows عبر إعلانات خبيثة على فيسبوك:

• الحملة تروج لإصدار مجاني مزعوم من تطبيق TradingView Premium.

• الهدف النهائي هو نشر نسخة مطورة من حصان طروادة المصرفي Brokewell لسرقة البيانات الحساسة.

• منذ 22 يوليو 2025، تم تشغيل أكثر من 75 إعلانًا ضارًا وصل إلى عشرات الآلاف من المستخدمين في الاتحاد الأوروبي.

تؤكد هذه التطورات أن مجرمي الإنترنت مستمرون في تطوير أساليبهم لمواكبة سلوك المستخدمين، سواء عبر استغلال الثغرات في حماية Google Play أو عبر إعلانات مزيفة على منصات التواصل الاجتماعي. ويبرز هنا تزايد الاعتماد على تطبيقات Dropper كوسيلة لنشر البرمجيات الضارة المرنة والقابلة للتكيف مع القيود الأمنية المستقبلية.