التطبيقات المشروعة تحولت إلى برامج تجسس التي تستهدف مستخدمي " Android " في الشرق الأوسط

التطبيقات المشروعة تحولت إلى برامج تجسس التي تستهدف مستخدمي " Android " في الشرق الأوسط

التطبيقات المشروعة تحولت إلى برامج تجسس التي تستهدف مستخدمي " Android " في الشرق الأوسط


يحذر باحثو الأمن السيبراني من حملة برمجيات خبيثة تعمل بنظام أندرويد نشط منذ عام 2016 وتم الإعلان عنها لأول مرة في أغسطس 2018. تم اكتشاف هذه الحملة مؤخرًا والتي

أطلق عليها باحثون في Kaspersky ، وقد استهدفت هذه الحملة مؤخرًا مواطنين إسرائيليين وبعض دول الشرق الأوسط الأخرى. برمجيات خبيثة للمراقبة قوية تهدف إلى سرقة جميع المعلومات التي يمكن الوصول إليها تقريبًا ، بما في ذلك تسجيلات المكالمات والرسائل النصية والصور ومقاطع الفيديو وبيانات الموقع - وكل ذلك دون معرفة المستخدمين. إلى جانب وظائف التجسس التقليدية هذه ، فإن البرمجيات الخبيثة لديها أيضًا إمكانيات مستتر ، بما في ذلك تحميل وتنزيل وحذف الملفات وتسجيل الصوت المحيطي وكاميرا الاستيلاء وإجراء المكالمات أو إرسال رسائل إلى أرقام محددة.

تم تسمية البرامج الضارة المستخدمة في هذه الحملات باسم " Triout " في تقرير نشره Bitdefender في عام 2018 ، وهو نوع من إطار البرامج الضارة الذي يستخدمه المهاجمون لتحويل التطبيقات الشرعية إلى برامج تجسس عن طريق ضخ حمولة ضارة إضافية فيها.

في تقرير جديد نُشر اليوم ، كشفت Kaspersky Lab أن المهاجمين يستخدمون أداة Baksmali بنشاط لتفكيك ثم إعادة تجميع رمز التطبيق الشرعي بعد حقن الشفرة الخبيثة فيه ، وهي تقنية تعرف باسم حقن Smali.
وقال الباحثون "بناءً على إحصائيات الكشف الخاصة بنا ، فإن ناقل العدوى الرئيسي هو انتشار تطبيقات طروادة مباشرة للضحايا عبر رسلي Telegram و WhatsApp".


إلى جانب ذلك ، وجد الباحثون أيضًا أن الكود المستخدم في البرامج الضارة لتحليل الأوامر من خادم الأوامر والتحكم يشبه الإصدارات المعدلة من عميل XMPP / Jabber مفتوح المصدر لنظام أندرويد يسمى "المحادثات".

"بالإضافة إلى ذلك ، لم نر آثار حقن Smali [في تطبيق المحادثات المعدلة]" ، أوضح باحثو Kaspersky ، لكن "عثروا على آثار لمجمعي dx / dexmerge ، مما يعني أنه في هذه المرة ، قام المهاجمون باستيراد المصدر الأصلي فقط. الرمز إلى IDE Android (مثل Android Studio ، على سبيل المثال) وتجميعه مع التعديلات الخاصة بهم. "

ومع ذلك ، لا تحتوي تلك الإصدارات المعدلة من تطبيق Conversations على أي تعليمات برمجية ضارة ولكن يبدو أنها تستخدم من قبل نفس المجموعة من المهاجمين لغرض لم يتم اكتشافه بعد.

وقال الباحثون: "لقد أوصلنا ذلك إلى فرضية أن هذا ربما يكون الإصدار الذي تستخدمه المجموعة التي تعمل خلف ViceLeaker للاتصال الداخلي أو لأغراض أخرى غير واضحة. تم تحديد موقع كل اكتشاف هذا التطبيق الذي تم ترسيخه في إيران".

وفقًا للباحثين ، لا تزال حملة هجوم ViceLeaker مستمرة ، ويمكن للمهاجمين توزيع الإصدارات الخبيثة المعاد تعبئتها من التطبيقات الشرعية من خلال متاجر التطبيقات التابعة لجهات خارجية أو الرسائل الفورية أو صفحات الويب التي يسيطر عليها المهاجمون.
نظرًا لأن هذه التطبيقات تتنكر كتطبيقات شرعية أو شعبية ، يوصى مستخدمو Android دائمًا بتنزيل التطبيقات من مصادر موثوقة ، مثل متجر Google Play ، لمنع أنفسهم من الوقوع ضحية لهذا الهجوم.

ومع ذلك ، يجب ألا تثق في كل تطبيق متوفر في متجر Play. لذلك ، التزم دائمًا بالمطورين الذين تم التحقق منهم فقط لتجنب تثبيت التطبيقات الضارة.


المنشور التالي المنشور السابق