حذر باحثو الأمن السيبراني من تحول جديد في مشهد البرمجيات الخبيثة على أندرويد، حيث بدأت تطبيقات Dropper، التي كانت تُستخدم عادةً لتوزيع أحصنة طروادة المصرفية، في نشر برمجيات أبسط مثل سرقة رسائل SMS وبرمجيات التجسس.
أسلوب الهجوم الجديد
وفقًا لشركة ThreatFabric الهولندية للأمن السيبراني:
-
يتم نشر هذه الحملات عبر تطبيقات Dropper تتنكر في شكل تطبيقات حكومية أو مصرفية في الهند وأجزاء أخرى من آسيا.
-
السبب وراء التغيير هو الإجراءات الأمنية الجديدة التي اختبرتها Google في أسواق مثل سنغافورة، تايلاند، البرازيل، والهند لحظر تثبيت التطبيقات المشبوهة التي تطلب أذونات حساسة (مثل الرسائل النصية وخدمات إمكانية الوصول).
لكن المهاجمين لجأوا إلى تطوير Droppers جديدة لا تطلب أذونات عالية الخطورة مباشرة، بل تعرض شاشة “تحديث” عادية، وفقط عند النقر على زر “Update” يتم جلب الحمولة الضارة من خادم خارجي.
ثغرات في حماية Google Play Protect
رغم أن Google Play Protect قد يعرض تحذيرات للمستخدمين، إلا أن:
-
التطبيق يتم تثبيته إذا وافق المستخدم يدويًا على “Install anyway”.
-
عندها، تُمنح الأذونات المطلوبة وتُثبت البرمجيات الخبيثة.
قالت ThreatFabric:
“هذه الفجوة الحرجة تسمح بمرور التطبيقات الضارة رغم وجود برنامج الحماية إذا ضغط المستخدم على التثبيت يدويًا.”
أمثلة على تطبيقات Dropper الضارة
من أبرز التطبيقات التي تم رصدها عبر أداة RewardDropMiner في الهند:
-
PM YOJANA 2025 (com.fluvdp.hrzmkgi)
-
RTO Challan (com.epr.fnroyex)
-
SBI Online (com.qmwownic.eqmff)
-
Axis Card (com.tolqppj.yqmrlytfzrxa)
كما ظهرت متغيرات أخرى مثل: SecuriDropper، Zombinder، BrokewellDropper، HiddenCatDropper، وTiramisuDropper.
تعليق Google
صرحت جوجل لـ The Hacker News أنها لم تجد أيًا من هذه التطبيقات في متجر Google Play، مؤكدة أن أنظمة الحماية يتم تحديثها باستمرار:
“حتى لو جاء التطبيق من Dropper خارجي، فإن Play Protect يتحقق تلقائيًا من التهديدات.”
حملات Malvertising على فيسبوك
بالتوازي، حذرت Bitdefender Labs من حملة Malvertising جديدة تستهدف مستخدمي أندرويد وWindows عبر إعلانات خبيثة على فيسبوك:
-
الحملة تروج لإصدار مجاني مزعوم من تطبيق TradingView Premium.
-
الهدف النهائي هو نشر نسخة مطورة من حصان طروادة المصرفي Brokewell لسرقة البيانات الحساسة.
-
منذ 22 يوليو 2025، تم تشغيل أكثر من 75 إعلانًا ضارًا وصل إلى عشرات الآلاف من المستخدمين في الاتحاد الأوروبي.
تؤكد هذه التطورات أن مجرمي الإنترنت مستمرون في تطوير أساليبهم لمواكبة سلوك المستخدمين، سواء عبر استغلال الثغرات في حماية Google Play أو عبر إعلانات مزيفة على منصات التواصل الاجتماعي. ويبرز هنا تزايد الاعتماد على تطبيقات Dropper كوسيلة لنشر البرمجيات الضارة المرنة والقابلة للتكيف مع القيود الأمنية المستقبلية.
