- يستغل المهاجمون تطبيقات الويب التقدمية (PWAs) على نظام Android
- تم إغراء الضحايا عبر موقع التصيد google بريزم[dot]com في تثبيت PWA الضارة
- تقوم PWA بجمع الحافظة ومحافظ العملات المشفرة وكلمات المرور لمرة واحدة ونظام تحديد المواقع العالمي (GPS) والمزيد
حذر الخبراء من أن الجهات الفاعلة في مجال التهديد بدأت في التحول إلى تطبيقات الويب التقدمية (PWA) للقيام بمزايداتها الشريرة على نظام Android، وسرقة بيانات اعتماد تسجيل الدخول، وبيانات محفظة العملة المشفرة، ومعلومات نظام تحديد المواقع العالمي (GPS)، والمزيد.
قام باحثون أمنيون من شركة Malwarebytes مؤخرًا بتفصيل إحدى هذه الحملات التي رصدوها في البرية، بدءًا من رسالة بريد إلكتروني للتصيد الاحتيالي، وجذب الأشخاص إلى موقع Google المزيف google-prism[dot]com.
وتحت ذريعة الأمن المعزز، يتم إرشاد الضحايا من خلال فحص “أمني” من أربع خطوات يتضمن تثبيت PWA ضار.
حصاد البيانات
بالنسبة لأولئك الذين لا يعرفون تطبيقات الويب التفضيلية، فهذه هي مواقع الويب التي يمكن تثبيتها وتشغيلها مثل التطبيقات العادية على الجهاز ولكنها تعمل من خلال متصفح الويب.
بمجرد التثبيت، تطلب PWA أذونات لإرسال الإشعارات، والوصول إلى بيانات الحافظة، وميزات المتصفح الأخرى، وتقوم بإعداد عامل الخدمة لتمكين دفع الإشعارات، ومهام الخلفية، وتنظيم البيانات.
عند هذه النقطة، تبدأ البرامج الضارة في جمع البيانات عندما يكون التطبيق مفتوحًا. يتم حصاد محتويات الحافظة، وعناوين محفظة العملات المشفرة، وكلمات المرور لمرة واحدة عبر WebOTP API، وجهات الاتصال، وبيانات نظام تحديد المواقع العالمي (GPS)، وتفاصيل بصمات الجهاز. ولكن نظرًا لأنه لا يمكن جمع المعلومات إلا أثناء فتح التطبيق، فستبدأ PWA في إرسال إشعارات الدفع إلى الضحية أيضًا.
ستقوم PWA أيضًا بإنشاء قدرة ترحيل تعتمد على WebSocket ووكيل HTTP، بحيث يمكن للمهاجمين توجيه طلبات الويب، وفحص الشبكات الداخلية، وحتى الوصول إلى الموارد المحلية.
وقالت Malwarebytes إنه في بعض الحالات، يتم تشجيع الضحية أيضًا على تنزيل “تطبيق مصاحب” تم الإعلان عنه على أنه “تحديث أمني مهم” والذي يطلب أذونات واسعة النطاق ويسجل كمسؤول الجهاز.
يتيح هذا التطبيق، المخصص للأشخاص الأكثر سذاجة، تسوية أعمق، بما في ذلك اعتراض الرسائل القصيرة، والتقاط ضغطات المفاتيح عبر لوحة مفاتيح مخصصة، ومراقبة الإشعارات، وسرقة بيانات الاعتماد، والمثابرة على المدى الطويل.
إذا قمت، بأي حال من الأحوال، بتثبيت مثل هذا التطبيق، فيمكنك إزالته من خلال البحث عن إدخال “التحقق من الأمان” في قائمة التطبيقات المثبتة. إذا كان جهازك يحتوي على تطبيق يسمى “System Service” مع اسم الحزمة com.device.sync، وإذا كان لديه حق وصول المسؤول، فقم بإزالة حق الوصول بالانتقال إلى الإعدادات – الأمان – تطبيقات مسؤول الجهاز، ثم قم بإلغاء تثبيته.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات