قم بإزالتها فورًا، باحثو كاسبرسكي يكشفون عن برمجية خبيثة جديدة تجتاح متاجر التطبيقات

في تقرير أمني حديث أعلن باحثو شركة كاسبرسكي عن اكتشاف برمجية خبيثة جديدة تُدعى "SparkCat" والتي بدأت في الانتشار منذ مارس 2024.

تم اكتشاف برنامج ضار خطير على App Store وGoogle Play يمكنه مسح صور المستخدمين لاستخراج معلومات حساسة يمكن أن يؤدي هذا التهديد الأمني الذي ينتشر عبر تطبيقات تبدو غير ضارة إلى سرقة المعلومات الشخصية والأصول الرقمية.

وفقًا للتقرير، تم رصد الفيروس لأول مرة داخل تطبيق توصيل طعام في الإمارات العربية المتحدة وإندونيسيا ولكن سرعان ما تبين أنه أصاب 19 تطبيقًا آخر يقدمون خدمات متنوعة.

وأوضحت كاسبرسكي أن التطبيقات المصابة ببرمجية SparkCat تم تحميلها أكثر من 242 ألف مرة عبر متجر جوجل Play؛ وعلى الرغم من إزالة التطبيقات المصابة إلا أن التهديد لا يزال قائمًا مع توفر البرمجية على بعض المواقع والمتاجر غير الرسمية.

كيف يعمل SparkCat؟

تعتمد البرمجية الضارة على فحص معرض الصور الخاص بالمستخدم بحثًا عن عبارات الاسترداد الخاصة بالمحافظ الرقمية مثل لقطة شاشة لبيناتك أو OCR والتي تستخدم للوصول إلى محفظة العملات المشفرة الخاصة بك وعند العثور على هذه العبارات يعمل المخترقون على الاستيلاء عليها بسهولة.

يستخدم البرنامج الخبيث مكونًا إضافيًا لـ OCR (تحويل الصورة إلى نص) تم إنشاؤه باستخدام مكتبة ML Kit لقراءة النص من الصور وإرسالها إلى مجرمي الإنترنت ولا يقتصر خطر SparkCat على سرقة العملات الرقمية فقط بل يمتد ليشمل استخراج معلومات شخصية حساسة من لقطات الشاشة مثل الرسائل النصية والكلمات المفتاحية التي قد تُستخدم في عمليات التصيد الاحتيالي.

إجراءات جوجل وابل لمواجهة التهديد

بعد تلقي التقارير الأمنية سارعت جوجل إلى إزالة التطبيقات المصابة من متجر Google Play واتخذت إجراءات صارمة ضد المطورين المسؤولين؛ وأكد المتحدث باسم جوجل - إد فرنانديز، أن ميزة حماية بلاي Google Play Protect تعمل على حماية مستخدمي أندرويد من الإصدارات المعروفة لهذا الفيروس.

كما قامت شركة ابل أيضًا بحذف جميع التطبيقات المصابة من متجرها لمنع انتشار البرمجية الضارة بين مستخدمي iOS.

قائمة التطبيقات المصابة بالفيروس والمحذوفة من متجر جوجل بلاي

طبعًا لمعرفة التطبيق وأيقونته قم بنسخ ID التطبيق من القائمة التالية وقم بلصقها في محرك بحث جوجل وسوف تظهر لك العديد من المتاجر التي توفرها أو قم بالدخول إلى قسم الصور في بحث جوجل.

• com.crownplay.vanity.address
• com.atvnewsonline.app
• com.bintiger.mall.android
• com.websea.exchange
• org.safew.messenger
• org.safew.messenger.store
• com.tonghui.paybank
• com.bs.feifubao
• com.sapp.chatai
• com.sapp.starcoin

قائمة التطبيقات المصابة بالفيروس والمحذوفة من متجر أبل

• com.atvnewsonline.app
• com.wukongwaimai.client
• com.lc.btdj
• com.feidu.pay
• com.wetink.chat
• com.websea.exchange
• xyz.starohm.chat
• com.crownplay.luckyaddress1
• com.safew.messenger
• com.thpay.bank
• io.aicean.chat

تشمل بعض التطبيقات المصابة التي اكتشفها كاسبرسكي تطبيق توصيل الطعام ComeCome وبرنامج المحادثة ChatAi وتطبيقات المراسلة WeTink وAnyGPT.

كان هذا الفيروس الضار نشطًا منذ مارس 2024 وكان من الصعب للغاية تحديد التطبيقات المصابة حيث لم تظهر سلوكًا مشبوهًا وكان قيامها لخدماتها كافيًا لتنشيط البرامج الضارة دون الحاجة إلى أذونات إضافية.

بمعنى آخر ظهرت هذه التطبيقات على السطح وكأنها غير ضارة على الإطلاق وهو ما أدى إلى خداع عدد كبير من المستخدمين ولكن شركة كاسبرسكي غير متأكدة ما إذا كان مطورو هذه البرامج متورطين في العدوى أم أنها كانت نتيجة لهجوم على سلسلة التوريد.

وهذا يعني أنه في حين تم إنشاء بعض البرامج عمدًا لخداع الضحايا كانت هناك برامج أخرى مشروعة ومن المحتمل أنها مصابة بطريقة ما.

ويبدو أن الحملة تستهدف في المقام الأول مستخدمي أجهزة أندرويد وآيفون في أوروبا وآسيا فإذا كان لديك أي من التطبيقات المذكورة أعلاه على هاتفك فتأكد من إلغاء تثبيتها فورًا.

كيف تحمي نفسك؟َ

رغم الجهود المبذولة لإزالة SparkCat من المتاجر الرسمية لا يزال الفيروس متاحًا في بعض المتاجر والمصادر الخارجية لذا يُنصح المستخدمون باتباع الخطوات التالية لحماية أجهزتهم وبياناتهم:

1. تجنب تحميل التطبيقات من مصادر غير رسمية والاعتماد على المتاجر الموثوقة فقط.
2. تفعيل ميزات الحماية مثل Google Play Protect على أجهزة أندرويد.
3. استخدام مدير كلمات مرور آمن لحفظ العبارات السرية بدلاً من تخزينها في معرض الصور.
4. التحقق من أذونات التطبيقات وعدم منح أي تطبيق وصولًا غير ضروري إلى الملفات الشخصية أو المعرض.