اكتشف خبراء الأمن سلالة جديدة من البرمجيات الخبيثة لأندرويد تعتمد مكتبة تعلم آلي مفتوحة المصدر من جوجل لتوليد نقرات إعلانية بشكل خفي، ما يُظهر تزايد تعقيد التهديدات الموجهة للهواتف المحمولة.
وتختلف عن الأساليب السابقة التي كانت تعتمد على كود ثابت، إذ تستخدم البرمجية TensorFlow.js لتحليل عناصر الشاشة وتحديد المناطق القابلة للنقر تلقائيًا عند ظهور إعلان داخل تطبيق أو لعبة، ما يمكّنها من التكيف مع تغيّر صيغ الإعلانات وتخطيطات العرض المختلفة بما فيها الإعلانات المدمجة ديناميكيًا.
وتُوصف بأنها تعمل في وضع مخفي يُطلق عليه الباحثون “الوضع الشبحي”، حيث تُشغّل نافذة WebView مخفية محمّلة بالإعلانات وتقوم بالنقر عليها بالكامل في الخلفية دون إشعار ظاهر للمستخدم، مما يرفع معدلات النقر على الإعلانات مع بقاء المستخدم يلاحظ آثاراً غير مباشرة مثل استنزاف البطارية أو زيادة استهلاك البيانات أو انخفاض الأداء.
وإذا تعثرت التفاعلات الآلية، يمكن للبرمجية الانتقال إلى وضع يتيح للمهاجمين التحكم اليدوي في بعض الإجراءات مثل التمرير أو النقر عبر آلية تعتمد على WebRTC، وفقًا لما ذكرته الباحثون.
طرق الانتشار والتوصيات الأمنية
تشير التقارير إلى أن البرمجية الخبيثة تنتشر أساسًا عبر ألعاب أندرويد بسيطة، ووجدت تطبيقات مصابة في متجر GetApps التابع لشركة شاومي، إضافة إلى وجودها عبر منصات APK خارجية مثل Apkmody وModdroid، إضافة إلى قنوات تيليغرام التي توزع نسخاً معدلة من تطبيقات شهيرة.
ولتقليل المخاطر، ينصح الخبراء بعدم تثبيت التطبيقات من مصادر غير رسمية، ومراجعة الألعاب المحملة حديثًا، وتفعيل Google Play Protect، ومراجعة أذونات التطبيقات بشكل دوري، مع الحفاظ على تحديث الجهاز وإجراء فحوصات أمنية منتظمة للمساعدة في تقليل التعرض لهذه التهديدات المدعومة بالذكاء الاصطناعي.