عثر باحث أمني على تطبيق مزيف للرسائل النصية على نظام أندرويد يعمل سرًا بوصفه وسيلة لإنشاء حسابات على مواقع، مثل: مايكروسوفت، وجوجل، وإنستاجرام، وتيليجرام، وفيسبوك.
وقال الباحث إن أرقام الهاتف الخاصة بالأجهزة التي ثُبِّت عليها التطبيق، الذي نُزِّل نحو 100,000 مرة من متجر جوجل بلاي الخاص بنظام أندرويد ، تُؤجَّر بعد ذلك دون علم مالكيها للحصول على رمز المرور الذي يُستخدم عادةً مرة واحدة للتحقق من المستخدمين أثناء إنشاء حسابات جديدة.
وفي حين أن التطبيق حاصل على تصنيف عام يبلغ 3.4، فإن العديد من تعليقات المستخدمين تقول إنه مزيف، ويخطف هواتفهم، ويُرسل إليهم عدة رموز مرور حين التثبيت.
اكتشف تطبيق Symoo الباحث الأمني لدى شركة Evina، ماكسيم إنجرو، الذي أبلغ جوجل بذلك، ولكنه لم يتلق أي رد من فريق أندرويد. ولا يزال حتى لحظة كتابة التقرير متاحًا على متجر جوجل بلاي.
آلية عمل تطبيق Symoo
حين التثبيت على الجهاز، يطلب التطبيق إذنًا لإرسال وقراءة الرسائل القصيرة، الأمر الذي يبدو طبيعيًا لأن Symoo يُسوِّق نفسه على أنه تطبيق “سهل الاستخدام” للرسائل النصية.
وفي الشاشة الأولى، يطلب من المستخدم تقديم رقم هاتفه، بعد ذلك، يعرض شاشة تحميل مزيفة يُفترض أنها تُظهر تقدم تحميل الموارد. ولكن هذه العملية تطول على نحو يسمح لمشغلي التطبيق بإرسال العديد من الرسائل النصية التي تُستخدم كرموز للمصادقة الثنائية لإنشاء حسابات على العديد من الخدمات، وقراءة محتوى الرسائل، ثم إرسالها إلى المشغلين.
Found new #Android #malware that read all the sms and send to a server 👀
A website sells account creations (Fb, Google..) it uses infected phones to make the registrations with auth sms 🥷🏻
N°1 in new sms app in Play Store in #India it has infected 100k+ people there 👾 pic.twitter.com/VH6DHWEG4y
— Maxime Ingrao (@IngraoMaxime) November 28, 2022
وبعد إكمال المهمة، يُصاب التطبيق بالتجمد، ثم لا يصل إلى واجهة التطبيق الرئيسية، الأمر الذي يدفع المستخدمين إلى إلغاء تثبيته. وفي تلك الأثناء، يكون التطبيق قد استخدم رقم هاتف المستخدم لتوليد حسابات مزيفة في الخدمات. ويقول مستخدمو التطبيق إنهم حصلوا على رموز لحسابات لم ينشئوها.
ونظرًا إلى أن أرقام الهواتف غالبًا ما تكون الطريقة الوحيدة الممكنة للتحقق من الحسابات، فإن الأشخاص الذين يرغبون في الانخراط في أنشطة غير قانونية أو مجهولة يجدون هذه الحسابات ذات الأسماء المستعارة مفيدة.
بالإضافة إلى ذلك، اكتشف ماكسيم إنجرو أن تطبيق Symoo يسحب بيانات الرسائل القصيرة إلى نطاق يستخدمه تطبيق آخر هو Virtual Number الذي كان موجودًا أيضًا في متجر جوجل بلاي في وقت سابق، ولكنه حُذف منه.
ويُنصح مستخدمو مثل هذه التطبيقات على نظام أندرويد بإلغاء تثبيتها؛ لأنها تنسخ محتوى الرسائل القصيرة الخاصة بالمستخدمين إلى خوادمها الخاصة.