🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Back
ذكاء البرامج الضارة

تحليل متاجر التطبيقات التابعة لجهات خارجية بحثًا عن ملفات APK المعدلة من خلال التحقق من التوقيع

تحليل متاجر التطبيقات التابعة لجهات خارجية بحثًا عن ملفات APK المعدلة من خلال التحقق من التوقيع
December 24, 2020
min
Table of Content
Example H2
Example H2

 

حتى بعد حظر التطبيقات الصينية الرئيسية مثل PUBG، كانت متاحة للتنزيل على متاجر تطبيقات الطرف الثالث. وبالمثل، فإن الإصدارات المعدلة من التطبيقات مثل Spotify و Hotstar، التي توفر الوصول إلى الخدمات المتميزة دون إعلانات تدخلية، مجانًا، تحظى أيضًا بشعبية في متاجر تطبيقات الطرف الثالث. على الرغم من أن هذه التطبيقات قد تبدو مشابهة تمامًا لإصداراتها الأصلية، إلا أنها لم يتم تطويرها من قبل نفس الشركة المصنعة. يلجأ المستخدمون إلى متاجر تطبيقات الطرف الثالث عندما لا تتوفر تطبيقات معينة في المتاجر الرسمية مثل متجر Google Play ومتجر Apple App Store، أو إذا كانت باهظة الثمن، أو ببساطة لأنها تحتوي على عدد كبير جدًا من الإعلانات. تحظى متاجر تطبيقات الطرف الثالث بشعبية بين المستخدمين بسبب الميزات التالية أيضًا:

  • توفير الوصول إلى الإصدارات القديمة من التطبيق
  • ألعاب وتطبيقات مجانية مقابل نظيرتها باهظة الثمن
  • التطبيقات متوفرة بلغات متعددة
  • يتم تحفيز التنزيلات بامتيازات مثل العملة الافتراضية والمكافآت الأخرى
  • الوصول إلى الإصدارات التجريبية من التطبيقات
  • فترة تجريبية مجانية للتطبيقات

 

ملفات APK المعدلة عالية المخاطر

ملفات APK المعدلة هي في الأساس إصدارات معدلة من حزم Android الأصلية (APKs) التي تحتوي على ميزات إضافية وعملات غير محدودة داخل اللعبة أو مفاتيح أو تصاريح وما إلى ذلك، وقد تحتوي ملفات APK هذه على أبواب خلفية قد تعرض الجهاز ومستخدميه للخطر.

 

  • المخاطر المخفية في تطبيقات Spotify الخالية من الإعلانات

يقدم متجر تطبيقات iOS التابع لجهة خارجية TutuApp إصدارات مقرصنة من الألعاب/التطبيقات والألعاب غير المصرح بها بالإضافة إلى إصدارات خالية من الإعلانات من تطبيقات مثل Spotify. في حالة Spotify الخاصة، أعاد المطورون المستقلون تجميع تطبيق iOS الأصلي باستخدام مانع الإعلانات المدمج. تطلب مثل هذه التطبيقات أذونات مستقلة تسمح للجهات الفاعلة في مجال التهديد بالوصول إلى أجزاء مختلفة من الهاتف.

تستفيد TutuApp من برنامج شهادات الشركات من Apple الذي يسمح للمؤسسات الأخرى بإنشاء ونشر تطبيقات خاصة داخل الشركة لموظفيها. هذه أيضًا طريقة أخرى للتهرب من عملية فحص Apple.

 

 

  • تطبيقات بوكيمون جو المشبوهة

تمت إعادة تجميع العديد من التطبيقات المرتبطة بـ Pokemon Go وإطلاقها في البرية، مستهدفة مستخدمي Android و iOS. فيما يلي الفئات المختلفة التي تنتمي إليها هذه التطبيقات:

  1. الإصدارات المعاد تجميعها من Pokemon Go المصابة بـ Trojan (Android). على سبيل المثال، تم حقن تطبيق Pokemon Go بـ RAT الذي يطلق عليه اسم SandroRat.
  2. الإصدارات المعاد تجميعها من Pokemon Go المصابة ببرامج الإعلانات المتسللة (Android).
  3. التطبيقات الضارة التي تتنكر في صورة تطبيق Pokemon Go، للقيام بأنشطة غريبة وغير متوقعة مثل تسجيل نفسك كمسؤول الجهاز (Android).
  4. إصدارات مُعاد تجميعها وتعديلها من Pokemon Go تتجاوز الفواتير داخل التطبيق والمواقع المزيفة وما إلى ذلك أو تعطل اكتشاف الهروب من السجن (Android و iOS).

بعض هذه التطبيقات ضارة بطبيعتها، ومصممة لاستهداف مستخدميها. بينما تم العبث بالآخرين وتزويد المستخدمين بميزة.

 

تحليل CloudSek لأكثر من 50 متجرًا تابعًا لجهات خارجية

لغرض البحث المستمر، أجرت CloudSek تحليلًا على أكثر من 50 متجرًا للتطبيقات التابعة لجهات خارجية. كان الغرض الرئيسي من هذه الدراسة هو التحقق من مصداقية هذه المتاجر واكتشاف ما إذا كانت التطبيقات المتاحة في هذه المتاجر تحتوي على أي كود معدّل يختلف عن ذلك الموجود في APK الرسمي. ولتحقيق ذلك، تم تنزيل ملفات APK للتطبيقات المماثلة التي تنتمي إلى نفس الإصدار من متجر التطبيقات الرسمي وكذلك متجر تطبيقات الطرف الثالث. بعد ذلك، أجرينا التحقق من التوقيع على جميع تطبيقات الطرف الثالث.

 

عملية التحقق من التوقيع

افتراضيًا، يتطلب نظام التشغيل Android توقيع جميع التطبيقات وتثبيتها. يتيح لك هذا التوقيع تحديد مؤلف التطبيق (والذي يمكن استخدامه للتحقق من شرعيته)، بالإضافة إلى إنشاء علاقات ثقة بين التطبيقات التي تشترك في نفس التوقيع. على الرغم من وجود إصدارات متعددة من مخطط توقيع APK (V1 - V4)، فإن كل تطبيق يتضمن حاليًا إصدار التوقيع V1 (يطلق عليه اسم توقيع JAR) للحفاظ على التوافق مع الإصدارات السابقة.

 

نظام التحقق من التوقيع V1

  1. يحتوي كل ملف APK على ملف توقيع في مجلد META-INF/ الخاص به.
  2. <signer>ميتا-إنف/. (RSA/DSA|EC) هو التوقيع المستخدم لتوقيع كل ملف في APK.
  3. خيارات RSA/DSA|EC المختلفة مخصصة للتوقيعات المشفرة المختلفة، وقد يحتوي مجلد META-INF واحد فقط على واحدة من هذه التوقيعات.
  4. يحتوي META-INF/MANIFEST.MF على ملخص التوقيع لكل ملف.

 

كيف تعمل عملية التحقق؟

  1. تبدأ العملية بالبحث عن ملف التوقيع في ملف APK ZIP داخل مجلد META-INF.
  2. ثم يتم استخدام OpenSSL لاستخراج التوقيع.
  3. أخيرًا، تتم مقارنة التوقيعات مع APK الرسمي ويتم إرجاع النتائج.

 

نتائج التحليل

لقد تحققنا من حوالي 990 تطبيقًا تابعًا لجهات خارجية باستخدام عملية التحقق من التوقيع. بعض متاجر تطبيقات الطرف الثالث التي تم تحليلها كانت جميع ملفات apk المجانية، apkpure، apkfull، apktada.

اكتشفنا ما مجموعه 10 تطبيقات تابعة لجهات خارجية تم تعديلها أو لم تتطابق التوقيعات الخاصة بها وذلك يحتوي على رمز مختلف مختلف عن APK الأصلي. هذه بعض التطبيقات التي تحتوي على ملفات APK معدلة:

 

اسم متجر التطبيقات
اسم الحزمة
اسم التطبيق
أوشن أوف apk
  1. استوديو كومبيسكارت للفنون
  2. com.spotify. ميوزيك
  3. com.gaana
  1. محرر صور بيكسارت
  2. سبوتيفي
  3. غانا
أبتويدcom.truecallerتروكولرأبك20com.pinterestموقع Pinterest

 

تحليل APK المعدل

  • محرر صور بيكسارت

اسم الحزمة
استوديو كومبيسكارت للفنون
اسم المتجر
أوشن أوف apk
الإصدار
بيكارت_v15.1.5

 

تم العثور على نقاط الضعف 
  1. أندرويد فليسيوير (PUA)

التطبيقات التي تجذب المستخدمين إلى شراء نسخة تجريبية مجانية من خدماتهم، وتفرض عليهم رسوم اشتراك باهظة بمجرد انتهاء الفترة التجريبية. لا تعمل تطبيقات fleeceware هذه ما لم يتم تزويدها بتفاصيل الدفع الخاصة بالمستخدمين. إذا وقع المستخدمون في هذه الحيلة وقدموا تفاصيلهم، فإن التطبيق يستخدم هذه التفاصيل لخصم رسوم الاشتراك بعد انتهاء الفترة التجريبية، دون موافقة المستخدم.

  1. تحديث البرنامج النصي لليورو\ إتش تي إم إل

Heur/html.malware عبارة عن برنامج ضار يتم اكتشافه باستخدام روتين الكشف الإرشادي المصمم للعثور على البرامج النصية الشائعة للبرامج الضارة في ملفات HTML.

 

  • سبوتيفي

اسم الحزمة
استوديو كومبيسكارت للفنون
اسم المتجر
أوشن أوف apk
الإصدار
سبوتيفي بريميوم -8.5.80.1037

 

تم العثور على نقاط الضعف
  1. إويند تروجان

يعد Ewind Trojan في الأساس برنامجًا إعلانيًا يحقق الدخل من التطبيقات من خلال عرض إعلانات غير مرغوب فيها على جهاز الضحية. تقوم Adware أيضًا بجمع بيانات الجهاز وهي قادرة أيضًا على إعادة توجيه الرسائل إلى المهاجم. في الواقع، يمكن لـ adware Trojan السماح بالوصول الكامل عن بُعد إلى الجهاز المصاب.

  1. برنامج المخاطر/جياجو! أندرويد

تشكل Riskware تطبيقات لا يتم تصنيفها بطبيعتها كبرامج ضارة. ومع ذلك، قد تستخدم موارد النظام بطريقة غير متوقعة أو مزعجة، و/أو قد تشكل خطرًا أمنيًا على الجهاز الضحية.

 

Users will notice screens similar to this one on their affected device
سيلاحظ المستخدمون شاشات مشابهة لهذه على أجهزتهم المتأثرة

 

كيف يقوم المهاجمون بتعديل التطبيقات الرسمية؟

بصرف النظر عن الأمثلة البارزة التي شاركناها أعلاه، هناك عدد كبير جدًا من التطبيقات المعدلة الكامنة في متاجر الطرف الثالث. وهي مسألة وقت فقط قبل أن تقع الضحية التالية فريسة لأحد هذه الآلاف من التطبيقات الضارة. دعونا نلقي نظرة على بعض الطرق التي يتمكن بها المهاجمون من تعديل التطبيقات الرسمية.

  • إضافة علامة تصحيح الأخطاء في ملف التكوين

يضيف المهاجم «debug=true» إلى ملف.properties في تطبيق محلي يدويًا. يقوم التطبيق بعد ذلك بإرجاع ملفات السجل الوصفية تمامًا عند إطلاقه. توفر ملفات السجل هذه للمهاجمين إمكانية الوصول إلى أنظمة الواجهة الخلفية. وهذا بدوره يمكن المهاجم من البحث عن نقاط الضعف داخل النظام، وذلك لاستغلالها.

  • التلاعب بالشفرة

يضيف المهاجم قفزات شرطية داخل الكود مما يسمح له بتجاوز عملية اكتشاف عملية شراء ناجحة داخل التطبيق. وهذا يساعدهم في الحصول على أكبر عدد ممكن من أدوات اللعبة وقدراتها، دون الحاجة إلى دفع ثمنها. قد يقوم المهاجم أيضًا بحقن برامج التجسس في التطبيق لسرقة هوية ضحاياه.

  • الوصول غير المصرح به إلى نقطة النهاية الإدارية

يمكن للمهاجم الوصول إلى نقطة النهاية الإدارية التي يتركها المطورون مكشوفة أثناء عملية اختبار نقطة النهاية. يمكن للمهاجم إجراء تحليل سلسلة للثنائي لمعرفة عنوان URL المشفر إلى نقطة نهاية REST الإدارية. بعد ذلك يمكن للمهاجم استخدام «cURL» لتنفيذ الوظائف الإدارية الخلفية.

  • متطلبات سهولة الاستخدام

تحدد متطلبات قابلية الاستخدام أن كلمات مرور تطبيق الهاتف المحمول يمكن أن تتكون من 4 أرقام فقط. يقوم رمز الخادم بتخزين نسخة مجزأة من كلمة المرور. نظرًا لأن كلمة المرور قصيرة جدًا، سيتمكن المهاجم من استنتاج كلمة المرور الأصلية باستخدام جداول تجزئة قوس قزح. إذا تمكن المهاجم من اختراق ملف كلمة المرور على الخادم، فقد يؤدي ذلك إلى كشف كلمة مرور المستخدم.

  • فحص الشهادة

يتم إنشاء قناة آمنة عندما يتصل التطبيق ونقطة النهاية من خلال مصافحة TLS. إذا قبل التطبيق الشهادة التي يقدمها الخادم دون فحصها، فقد يؤدي ذلك إلى تعطيل بروتوكول المصادقة المتبادلة بين نقطة النهاية والتطبيق مما يسمح بهجمات man-in-the-middle (MiTM).

وبالتالي قد تبدو تطبيقات الطرف الثالث بريئة، ولكنها في الواقع قد تكون شائنة ولها آثار خطيرة على مستخدميها. ومع ذلك، يمكن تحديد تطبيقات الطرف الثالث الضارة من خلال عمليات مثل التحقق من التوقيع. يجب على المستخدمين تجنب أو توخي الحذر قبل تثبيت التطبيقات التي ليست من متاجر التطبيقات الرسمية.

No items found.

Related Blogs

This is some text inside of a div block.
ذكاء البرامج الضارة
August 27, 2025
9
min
سعر الثقة: تحليل حملة البرامج الضارة التي تستغل إرث TASPEN لاستهداف كبار السن الإندونيسيين
Read more
This is some text inside of a div block.
ذكاء البرامج الضارة
July 25, 2025
6
min
تجذب الجهات الفاعلة في مجال التهديد الضحايا إلى تنزيل ملفات.HTA باستخدام ClickFix لنشر برنامج Epsilon Red Ransomware
Read more
This is some text inside of a div block.
ذكاء البرامج الضارة
March 25, 2025
6
min
منشئو YouTube تحت الحصار مرة أخرى: تقنية Clickflix تغذي هجمات البرامج الضارة
Read more