برزت حملة برمجيات خبيثة خطيرة تستهدف مستخدمي أجهزة أندرويد، وتحديداً من خلال ألعاب محمّلة ومعدّلة لتطبيقات بثّ مقرصنة. تستخدم هذه البرمجية الخبيثة، المعروفة باسم Android.Phantom، تقنية التعلم الآلي لتنفيذ احتيال النقر التلقائي على الإعلانات من الأجهزة المصابة. وقد سُجّلت أكثر من 155 ألف عملية تنزيل للألعاب المخترقة، مع انتشار الإصابات عبر إصدارات معدّلة من Spotify و YouTube و Netflix و Deezer عبر منصات غير رسمية.
تنتشر هذه البرمجية الخبيثة من خلال عدة قنوات، منها متجر GetApps الرسمي لأجهزة Xiaomi، حيث تم اكتشاف ست ألعاب مصابة من مطوّر يدعى SHENZHEN RUIREN NETWORK CO., LTD. بدأت هذه التطبيقات في البداية بدون أي كود خبيث، ولكن التحديثات التي صدرت في أواخر سبتمبر أدخلت برمجية Android.Phantom الخبيثة.
Android.Phantom: برمجية خبيثة تستخدم الذكاء الاصطناعي لأعمال الاحتيال
يمتد انتشار البرمجية الخبيثة إلى ما هو أبعد من المتاجر الرسمية ليشمل مواقع تعديل التطبيقات المخصصة، وقنوات Telegram التي تجذب عشرات الآلاف من المتابعين، وخوادم Discord حيث يقوم المسؤولون بالترويج بنشاط للتنزيلات المصابة. وأشار باحثو Dr.Web إلى أن Android.Phantom تعمل في وضعين مميزين يُسميان “فانتوم” (phantom) و “إشارة” (signaling).
تتصل البرمجية الخبيثة بخوادم الأوامر التي يتحكم فيها المهاجمون، والتي تحدد أنماط سلوكها. ويشتمل تصميمها المتطور على TensorFlowJS، وهو إطار عمل للتعلم الآلي يمكّن من التعرف الذكي والنقر التلقائي على العناصر الإعلانية المعروضة ضمن متصفحات مخفية تعمل على الأجهزة المصابة.
مكونات البرمجية الخبيثة
تتكون هذه التهديدات من عدة مكونات مترابطة. يعتبر Android.Phantom.2.origin هو المتغير الأساسي، وتم تعزيزه لاحقًا بـ Android.Phantom.5، الذي يعمل كبرنامج حذف (dropper) يقوم بتسليم وحدات تحميل التعليمات البرمجية عن بُعد. تقوم هذه الوحدات باسترداد وحدات إضافية للاحتيال على النقرات مصممة لمنصات إعلانية محددة.
كيف يعمل هجوم التعلم الآلي
يمثل وضع “فانتوم” القدرة الأكثر تقدمًا للبرمجية الخبيثة، حيث تستخدم الذكاء الاصطناعي للتفاعل مع الإعلانات بشكل احتيالي.
يقوم Android.Phantom.2.origin بنشر متصفح ويب مخفي يعتمد على تقنية Widget WebView، ويقوم بتحميل مواقع الويب المستهدفة حسب توجيهات خوادم الأوامر.
تقوم البرمجية الخبيثة بعد ذلك بإدخال نصوص برمجية لأتمتة JavaScript جنبًا إلى جنب مع إطار عمل TensorFlowJS. يقوم نموذج الذكاء الاصطناعي الذي يتم تنزيله من خوادم خارجية بتحليل لقطات الشاشة للصفحات التي تم التقاطها من شاشة افتراضية، وتحديد مكونات الإعلان القابلة للنقر.
هذا النهج الذكي يحاكي سلوك المستخدم الحقيقي، مما يجعل من الصعب على الشبكات الإعلانية اكتشاف النقرات الاحتيالية مقارنة بالنصوص البرمجية الآلية الأساسية. وتشكل هذه البرمجية الخبيثة تهديدًا متزايدًا بسبب قدرتها على التكيف واستخدامها للتعلم الآلي لزيادة التأثير.