برامج تجسس على أندرويد تتنكر في هيئة تطبيقات شرعية وتستهدف ضحايا في الشرق الأوسط

برامج تجسس على أندرويد تتنكر في هيئة تطبيقات شرعية وتستهدف ضحايا في الشرق الأوسط
أستمع الى المقال

نشرت شركة “سوفوس” (Sophos)، الشركة العالمية الرائدة في مجال الأمن السيبراني، تقريرًا بعنوان: “تطبيقات التهديد المتقدم والمستمر (APT) التجسسية التي تعمل بنظام أندرويد تستهدف ضحايا الشرق الأوسط، وتعزز المراوغة“، والذي يوضح بالتفصيل المتغيرات الجديدة لبرامج التجسس التي تعمل بنظام أندرويد المرتبطة بـ مجموعة C-23 -التي تُعرف أيضًا بأسماء GnatSpy أو FrozenCell أو VAMP- وهي مجموعة تهديد متقدم ومستمر، والتي سبق لها استهداف الضحايا في الشرق الأوسط منذ عام 2017. إذ تم تحسين المتغيرات والتحديثات الجديدة من أجل استمرار التخفي وتدفق البيانات.

أما عن C-23، الذين يستخدمون في بعض الأحيان تسمية “AridViper”، فهم مجموعة متسللين من فلسطين يتبعون لحركة المقاومة الإسلامية “حماس”، يرتكز عملهم الرئيسي في قطاع غزة، ولكن لديهم وجود خارج تلك المنطقة. يُعرفون بتطويرهم لتطبيقات أندرويد خبيثة، بالإضافة لحملات التصيّد الاحتيالي التي ترتكز على حصاد بيانات الاعتماد (أو حصاد الحسابات)؛ ويعني تجميع أعدادٍ كبيرة من بيانات الاعتماد (أسماء المستخدم وكلمات المرور) لإعادة استخدامها.

وأغلب اهدافهم تكون عادةً موجهةً ضد تنظيماتٍ فلسطينية أخرى، مثل حركة “فتح”. لكن رغم ذلك، وفي كثيرٍ من الأحيان، يستهدفون ضحايا موجودة في دول الشرق الأوسط الأخرى، مثل مصر، السعودية والإمارات.

جاسوس متنكر

يقدم برنامج التجسس نفسه كتطبيق تحديثات بشعار واسم عامّين، مثل “تحديثات التطبيقات” (App Updates). ويعتقد باحثو “سوفوس” أن المهاجمين ينشرون التطبيق التجسسي عن طريق إرسال رابط التنزيل على شكل رسالة نصية إلى هاتف الهدف، وعلى حد علم الباحثين، لم تتم استضافة أي من التطبيقات على متجر متجر بلاي.

وفي المرة الأولى التي يقوم فيها الهدف بتشغيل برنامج التجسس، فإنه يطلب أذونات للتحكم في جوانب مختلفة من الهاتف. إذ يستخدم المهاجمون تقنيات الهندسة الاجتماعية لإقناع الهدف بأن هذه الأذونات ضرورية لعمل التطبيق. والهندسة الاجتماعية؛ هي المصطلح المستخدم لمجموعة واسعة من الأنشطة الخبيثة التي يتم إنجازها من خلال التفاعلات البشرية. إذ يُستخدم التلاعب النفسي لخداع المستخدمين لارتكاب أخطاء أمنية أو الكشف عن معلومات حساسة. وبعد أن يمنح الهدف صلاحيات الوصول اللازمة، يتنكر برنامج التجسس بعد ذلك باستخدام اسم وشعار تطبيق شرعي. وهذا يجعل من الصعب على مستخدم الهاتف العثور على برامج التجسس وإزالتها يدويًا.

المتغيرات الجديدة

تستخدم التحديثات الجديدة لحزمة التطبيقات تمويهًا أكثر وأكثر تنوعًا من الإصدارات السابقة، مختبئةً خلف أيقونات التطبيقات الشائعة مثل متصفح كروم أو متجر بلاي أو يوتيوب أو تطبيق BOTIM للمحادثات الصوتية الشائع في المنطقة. وإذا نقر الضحية على الأيقونة الزائفة الاحتيالية لهذه التطبيقات، يقوم برنامج التجسس بالفعل بتشغيل الإصدار الشرعي من التطبيق، مع الحفاظ على مراقبة البيانات في الخلفية.

اعتمدت الإصدارات السابقة من برنامج التجسس على نطاق (domain) واحد للقيادة والتحكم تم ترميزه بشكلٍ ثابت في التطبيق وتشغيله بواسطة المهاجمين. وإذا عثر الضحية في السابق على النطاق وأزاله، فسيتم تعطيل برنامج التجسس. لكن يعتقد باحثو “سوفوس” أن المهاجمين حاولوا معالجة نقطة الضعف المحتملة هذه في المتغيرات الجديدة، والتي يمكنها تحويل خادم القيادة والتحكم إلى نطاقٍ مختلف عند اكتشافه. يسمح هذا لبرنامج التجسس بمواصلة العمل حتى بعد إزالة النطاق القديم.

وتشترك المتغيرات الجديدة في التعليمات البرمجية مع عينات البرامج الضارة الأخرى المنسوبة إلى تهديد C-23. إذ وجد باحثو “سوفوس” أيضًا سلاسل باللغة العربية في الكود البرمجي لتطبيق التجسس، ولاحظوا أن بعض النصوص فيه يمكن تقديمها إما باللغة الإنجليزية أو العربية، وذلك اعتمادًا على إعداد اللغة لهاتف الضحية.

لكن ظلّت ميزات الإصدارات السابقة من برامج التجسس دون تغيير، مثل: جمع النصوص من الرسائل القصيرة أو جمع البيانات من التطبيقات الأخرى وجهات الاتصال وسجلات المكالمات والصور والمستندات، وكذلك تسجيل الصوت المحيط والمكالمات الواردة والصادرة، بما في ذلك مكالمات واتساب، والتقاط الصور ولقطات الشاشة باستخدام كاميرا الهاتف وتسجيل مقاطع الفيديو على الشاشة، وقراءة الإشعارات من وسائل التواصل الاجتماعي وتطبيقات المراسلة.

علاوةً على ذلك، يمكن لبرامج التجسس هذه إلغاء الإشعارات من تطبيقات الأمان المضمّنة؛ مثل Samsung SecurityLogAgent و Xiaomi MIUI SecurityCenter و Huawei SystemManager وتطبيقات نظام أندرويد ومثبت الحزمة وإشعاراته.

قال بانكاج كوهلي، باحث التهديد في سوفوس: “تمثل برامج التجسس تهديدًا متزايدًا في عالم يزداد اتصاله ببعضه شيئًا فشيئًا. برنامج التجسس الذي يعمل بنظام أندرويد المرتبط بتهديد C-23 موجود منذ أربع سنوات على الأقل، ويستمر المهاجمون في تطويره بتقنياتٍ جديدة تتجنب الاكتشاف والإزالة. يستخدم المهاجمون أيضًا الهندسة الاجتماعية لجذب الضحايا إلى منح الأذونات اللازمة لرؤية كل ركن من أركان حياتهم الرقمية. لكن لحسن الحظ، هناك خطوات عملية يمكن للأشخاص اتخاذها للحماية من برامج التجسس، والكثير منها يستحق التطبيق حتى إذا كان المستخدمون لا يعتقدون أنهم هدفٌ للمراقبة”.

الإجراءات الوقائية ليست رفاهية

يوصي خبراء الأمن السيبراني بالانتباه للأمور الآتية واتخاذ الإجراءات المناسبة لأي شخص مهتم بالحماية من برامج التجسس أو التطبيقات التي يُحتمل أن تكون غير مرغوب فيها:

يجب أن يحذر المستخدمون من التطبيقات التي تطلب أذونات حساسة، مثل أذن “مسؤول الجهاز” أو الوصول إلى الإشعارات، أو تلك التي تتطلب الوصول إلى صلاحيات الجذر (Root). يمكن للمستخدمين معرفة التطبيقات التي تمتلك هذه الصلاحيات من خلال الذهاب إلى “الإعدادات” والبحث عن “تطبيقات مسؤول الجهاز” و “الوصول إلى الإشعارات” على التوالي.

كما يجب الحذر من الاختفاء المفاجئ لرمز أحد التطبيقات بعد تشغيله لأول مرة، والذي غالبًا ما يكون مؤشرًا على تطبيق غير مرغوب فيه أو ضار. يمكن لضحايا برامج التجسس هذه إزالة التطبيقات يدويًا من خلال الانتقال إلى قائمة التطبيقات المثبتة من الإعدادات-> التطبيقات، ثم التمرير للعثور على اسم التطبيق الذي تم استخدامه عند تثبيته لأول مرة، مثل”ِApp Updates” و “System App Updates” و “Android Update Intelligence”؛ وهي أسماء تطبيقات تجسس تنكرت على هيئة برامج تحديث شرعية.

ومع ذلك، فإن العديد من الأشكال الأخرى من البرامج الضارة للأجهزة المحمولة تخفي نفسها من قائمة التطبيقات المثبتة. لإزالتها، يحتاج المستخدمون إلى مساعدة أحد تطبيقات مكافحة البرامج الضارة؛ ويُنصح باستخدام تطبيق “Intercept X for Mobile“، لاكتشاف برامج التجسس والبرامج الضارة تلقائيًا لتجنب الوقوع فريسةً لها.

ويجب على المستخدمين كذلك تثبيت التطبيقات على أجهزتهم من مصادر موثوقة، مثل متجر بلاي الخاص بجوجل. وأن يقتصر تحديث نظام التشغيل أندرويد عبر إعدادات أندرويد الأصلية وتحديث التطبيقات الأخرى من متجر بلاي فقط بدلاً من الاعتماد على جهات خارجية.

هل أعجبك المحتوى وتريد المزيد منه يصل إلى صندوق بريدك الإلكتروني بشكلٍ دوري؟
انضم إلى قائمة من يقدّرون محتوى إكسڤار واشترك بنشرتنا البريدية.