حذّر باحثون في الأمن السيبراني من تحول ملحوظ في ساحة تهديدات أندرويد، حيث لم تعد تطبيقات Dropper تقتصر على نشر أحصنة طروادة المصرفية، بل باتت تستخدم كذلك لنشر برمجيات أبسط مثل أدوات سرقة رسائل SMS وبرامج التجسس الأولية.
وأوضحت شركة ThreatFabric الهولندية أن هذه الحملات تنتشر عبر تطبيقات Dropper تتخفى في صورة تطبيقات حكومية أو مصرفية في الهند وأجزاء أخرى من آسيا.
تأثير إجراءات الحماية الجديدة من جوجل
يرتبط هذا التغيير بإجراءات الحماية التي أطلقتها جوجل في أسواق محددة مثل سنغافورة وتايلاند والبرازيل والهند، حيث تعمل على حظر تثبيت التطبيقات المشبوهة التي تطلب أذونات حساسة مثل الوصول إلى الرسائل النصية أو خدمات إمكانية الوصول، وهي من أكثر الإعدادات استغلالًا في هجمات أندرويد.
وبحسب ThreatFabric، فإن المهاجمين يحاولون الالتفاف على هذه الإجراءات عبر إخفاء البرمجيات الضارة داخل طبقة Dropper، بحيث لا تطلب أذونات عالية الخطورة في البداية وتُظهر شاشة تحديث عادية تمر عبر الفحص الأمني. ولكن بمجرد ضغط المستخدم على زر “تحديث”، يتم جلب الحمولة الضارة من خادم خارجي أو فك ضغطها داخليًا، لتبدأ بعد ذلك بطلب الأذونات اللازمة لمهامها الخبيثة.
أدوات خبيثة بارزة
أحد الأمثلة البارزة هو تطبيق RewardDropMiner، الذي وُجد أنه يوصل برمجيات تجسس وأداة تعدين لعملة Monero يمكن تفعيلها عن بُعد. ورغم أن النسخ الأخيرة من الأداة أُزيل منها عامل التعدين، فإنها ما زالت تُستخدم في نشر برمجيات خبيثة تستهدف المستخدمين في الهند.
ومن بين التطبيقات المزيفة التي جرى توصيلها عبر RewardDropMiner:
-
PM YOJANA 2025 (com.fluvdp.hrzmkgi)
-
RTO Challan (com.epr.fnroyex)
-
SBI Online (com.qmwownic.eqmff)
-
Axis Card (com.tolqppj.yqmrlytfzrxa)
كما ظهرت إصدارات أخرى مثل SecuriDropper وZombinder وBrokewellDropper وHiddenCatDropper وTiramisuDropper، جميعها مصممة لتجنب اكتشاف Google Play Protect أو برنامجها التجريبي Pilot Program.
موقف جوجل وردود الصناعة
أكدت جوجل أنها لم ترصد أيًا من هذه التطبيقات في متجر Play، وأن حماية Play Protect ما زالت فعّالة في فحص التطبيقات بغض النظر عن مصدرها، مع استمرارها في تطوير إجراءات جديدة لمواجهة المهاجمين.
لكن ThreatFabric أشارت إلى وجود ثغرة في الحماية، إذ يظل بإمكان التطبيقات الضارة تجاوز الفحص إذا اختار المستخدم تجاهل التحذيرات والنقر على “تثبيت”.
وفي تطور موازٍ، حذرت شركة Bitdefender من حملة جديدة تستغل إعلانات فيسبوك الخبيثة لتوزيع نسخة مزيفة من تطبيق TradingView على أندرويد، بهدف نشر نسخة مطورة من حصان طروادة المصرفي Brokewell، القادر على مراقبة الأجهزة والتحكم فيها وسرقة بيانات حساسة.
وبحسب التقرير، فقد تم تشغيل أكثر من 75 إعلانًا خبيثًا منذ 22 يوليو 2025 استهدفت عشرات الآلاف من المستخدمين في الاتحاد الأوروبي، في إطار عملية إعلانية أوسع تستهدف كذلك أجهزة ويندوز تحت ستار تطبيقات مالية وعملات مشفرة.
