أعلن باحثون عن اكتشاف تطبيقين جديدين تم تحميلهما من متجر غوغل بلاي 11 مليون مرة، يحملان برامج ضارة من نفس العائلة. ويرجح فريق الباحثين من كاسبيرسكي أن أدوات تطوير البرامج الضارة المستخدمة لإدماج الإعلانات هي السبب وراء هذه الهجمات.
أدوات تطوير البرامج، أو ما يعرف بـ SDK، توفر للمطورين أطر عمل تسهل وتسريع عملية تطوير التطبيقات من خلال تبسيط المهام المتكررة. لكن عند استغلالها بشكل غير آمن، يمكن أن تدعم هذه الأدوات عرض الإعلانات بشكل غير شرعي. في الخلفية، تتيح تقنيات متقدمة لهذه الأدوات الاتصال بخوادم ضارة، حيث تقوم بتحميل بيانات المستخدم وتنزيل تعليمات برمجية ضارة وتحديثها باستمرار. هذه العائلة من البرامج الضارة تُعرف باسم Necro، وتميزت هذه المرة باستخدام تقنيات تخفي نادرة في مثل هذه الهجمات.
عند إصابة الأجهزة بهذا البرنامج الضار، يتواصل مع خادم أوامر وتحكم موجه من قبل المهاجم، ويرسل بيانات مشفرة تتضمن معلومات حول كل جهاز مصاب. أوضح الباحثون أن وحدة SDK الضارة تعتمد على تقنيات تخفي بسيطة لكنها فعالة، حيث تقوم بتنزيل برمجيات إضافية تستهدف كل جهاز مصاب بشكل فردي، مما يتيح تنفيذ إجراءات ضارة متعددة.
تم اكتشاف برمجيات Necro في تطبيقين على متجر غوغل بلاي، أحدهما هو Wuta Camera، الذي تم تحميله 10 ملايين مرة، ويحتوي على وحدة SDK ضارة. تم تحديث هذا التطبيق لإزالة المكون الضار. أما التطبيق الثاني، Max Browser، الذي تم تنزيله حوالي مليون مرة، فقد تمت إزالته من متجر غوغل بلاي.
كما أشار الباحثون إلى أن Necro يصيب تطبيقات أندرويد متنوعة متاحة في متاجر بديلة، حيث يتم الترويج لها على أنها نسخ معدلة من تطبيقات مشهورة مثل واتساب. ينصح الخبراء المستخدمين الذين يعتقدون أنهم قد تعرضوا للإصابة بفحص تطبيقاتهم واستخدام برامج مكافحة موثوقة لحماية أجهزتهم.