اكتشف خبراء الأمن سلالة جديدة من البرمجيات الخبيثة لأندرويد تعتمد بهدوء على تقنيات التعلم الآلي لتوليد نقرات إعلانية سرّاً.
تستخدم البرمجية مكتبة TensorFlow.js مفتوحة المصدر من جوجل لتحليل العناصر المرئية على الشاشة وتحديد المناطق القابلة للنقر والتفاعل معها تلقائيًا، ما يجعلها تتكيف مع صيغ الإعلانات المختلفة وتخطيط العرض بما في ذلك الإعلانات المدمجة ديناميكيًا.
تعمل في وضع خفي يُعرف بـ”الوضع الشبحي” حيث تشغّل نافذة WebView مخفية محمّلة بالإعلانات وتُنقر عليها كاملة في الخلفية، بدون أي مؤشر للمستخدم، ما يزيد معدلات النقر بينما يلاحظ المستخدم آثار غير مباشرة مثل استنزاف البطارية أو استهلاك البيانات أو تراجع الأداء.
وفي حال فشل التفاعل الآلي، يمكن للبرمجية الانتقال إلى وضع إشارة يتيح للمهاجمين التحكم اليدوي في بعض الإجراءات مثل التمرير أو النقر، عبر آلية تعتمد على WebRTC وفق ما ذكرته المصادر البحثية.
طرق الانتشار والتوصيات الأمنية
تشير التقارير إلى أن البرمجية الخبيثة تنتشر بشكل رئيسي عبر ألعاب أندرويد بسيطة، وقد وجدت ضمن متجر GetApps التابع لشركة شاومي، وغالباً ما تظهر بعد تحديثاتها لاحقاً بمكوّنات خبيثة، كما يتم تداولها عبر منصات APK خارجية مثل Apkmody وModdroid، إضافة إلى قنوات على تيليغرام توزّع نسخاً معدلة من تطبيقات شهيرة.
ولتقليل المخاطر ينصح الخبراء بتجنب تثبيت التطبيقات من مصادر غير رسمية، ومراجعة الألعاب التي تم تحميلها حديثاً، وتفعيل Google Play Protect، ومراجعة أذونات التطبيقات بشكل دوري، كما أن الحفاظ على تحديث الجهاز وإجراء فحوصات أمنية منتظمة يمكن أن يساعد في الحد من التعرض لهذه التهديدات.
