كيف يخفي القراصنة البرمجيات الضارة للتجسس في تطبيقات جوجل بلاي؟

 

تمكنت الكثير من برمجيات الإعلانات المضللة، وحتى أحصنة طروادة المصرفية على مر السنين من التغلب على عمليات التحقق الأمنية في متجر (جوجل بلاي) Google Play.

وقد اكتشف الباحثون الآن ما يبدو أنه شكل نادر جدًا من هجمات استهداف أجهزة أندرويد، حيث تمكن القراصنة من إخفاء برمجيات ضارة في بعض التطبيقات في متجر جوجل بلاي لاستهداف مستخدمين محددين والتجسس عليهم.

فكيف يخفي القراصنة هذه البرمجيات الضارة في تطبيقات جوجل بلاي للتجسس على المستخدمين وجمع البيانات، وكيف يمكنك حماية أجهزتك من هذه البرمجيات؟

اكتشف باحثون من شركة كاسبرسكي حملة قرصنة معقدة تستهدف مستخدمي أجهزة أندرويد تُسمى (PhantomLance)، حيث يخفي القراصنة برمجيات ضارة في تطبيقات متجر جوجل بلاي لاستهداف المستخدمين في فيتنام وبنغلاديش وإندونيسيا والهند.

وعلى عكس معظم التطبيقات المشبوهة الموجودة في جوجل بلاي، يقول باحثو كاسبرسكي: “إن حملة (PhantomLance) تستهدف سرقة البيانات بهدف إصابة بعض المئات فقط من المستخدمين؛ من المحتمل أن ترسل حملة التجسس روابط للتطبيقات الضارة إلى تلك الأهداف عبر رسائل البريد الإلكتروني التصيدية”.

يقول (أليكسي فيرش) الباحث الأمني في كاسبرسكي: “في هذه الحالة استخدم المهاجمون متجر جوجل بلاي كمصدر موثوق به، حيث يمكنك إرسال رابط لهذا التطبيق، وسيثق به الضحية، لأنه من جوجل بلاي”.

تقول كاسبيرسكي إنها ربطت حملة (PhantomLance) بمجموعة القراصنة التابعين للحكومة الفيتنامية، المعروفين باسم (OceanLotus)، والمعروفين أيضًا باسم (APT32)، وقد رصدت شركة (FireEye) في الفترة الأخيرة استهداف هذه المجموعة لإدارة الطوارئ الصينية، بالإضافة إلى حكومة مقاطعة ووهان الصينية، وعلى ما يبدو أنها كانت تبحث عن معلومات تتعلق بفيروس كورونا المستجد (Covid-19).

ظهرت الإشارات الأولى لحملة (PhantomLance) التي تركز على متجر جوجل بلاي في شهر يوليو من العام الماضي، وقد حدث ذلك عندما عثرت شركة الأمن الروسية (Dr.Web) على عينة من برمجيات التجسس في متجر التطبيقات وقد انتحلت هوية برنامج تنزيل برامج التصميم الجرافيكي، ولكنها كانت في الواقع قادرة على سرقة جهات الاتصال وسجلات المكالمات والرسائل النصية من هواتف أندرويد.

وجد باحثو كاسبرسكي تطبيق تجسس مشابه ينتحل صفة أداة تنظيف ذاكرة التخزين المؤقت للمتصفح يُسمى (Browser Turbo)، وقد كان نشيطًا حتى شهر نوفمبر من ذلك العام، حيث قامت جوجل بحذف كل التطبيقات الضارة من جوجل بلاي بعد الإبلاغ عنها.

في حين كانت قدرات التجسس لهذه التطبيقات محدودة، إلا أن الباحث (فيرش) يقول: “كان بإمكانها التوسع، فقدرتها على تنزيل برمجيات ضارة جديدة، يمكن أن تؤدي إلى تطور ميزاتها بشكل كبير”.

عثر فريق بحث كاسبرسكي على عشرات تطبيقات التجسس المماثلة الأخرى، التي يعود تاريخها إلى عام 2015، والتي أزالتها جوجل بالفعل من المتجر، ولكنها لا تزال مرئية في النسخ المؤرشفة لمستودع التطبيق. كما أنشأ المخترقون حسابًا جديدًا، وقاموا أيضًا بإنشاء حساب في (Github) للمطورين؛ لجعل التطبيقات تبدو مشروعة ولإخفاء مساراتهم.

الجدير بالذكر أن برنامج مكافحة الفيروسات من كاسبرسكي قد اكتشف التطبيقات الضارة التي تحاول إصابة نحو 300 جهاز في بلدان، مثل الهند وفيتنام وبنغلاديش وإندونيسيا منذ العام 2016.

في معظم الحالات، صُممت هذه التطبيقات لتكون نظيفة في وقت التثبيت، ثم تُضاف إليها كل ميزاتها الضارة لاحقًا في التحديثات. كما استغلت هذه التطبيقات ميزات عملية Root، التي سمحت لهم بتجاوز نظام أذونات أندرويد، الذي يُجبر التطبيقات على طلب موافقة المستخدم قبل الوصول إلى البيانات، مثل: جهات الاتصال والرسائل النصية.

لا تُعتبر حملة (PhantomLance) أول مثال على قيام قراصنة ترعاهم دولة ما بإساءة استخدام متجر جوجل بلاي لتوزيع أدوات التجسس الخاصة بهم. حيث اكتشفت منظمة (Security Without Borders) غير الربحية العام الماضي أن بعض القراصنة التابعين للحكومة الإيطالية كانوا يخفون أدوات تجسس في جوجل بلاي.

كما كشفت جوجل نفسها في شهر نوفمبر الماضي أن مجموعة قراصنة روس تُسمى (Sandworm) قاموا في أواخر عام 2017 بإخفاء برمجيات ضارة في تطبيقات جوجل بلاي تستهدف الأوكرانيين والكوريين.

لكن حملة (PhantomLance) تعتبر مقلقة بشكل خاص، حيث تبين أنه حتى بعد حذف جوجل معظم برمجيات التجسس الخاصة بقراصنة (OceanLotus)، فإنها لم تكتشف اثنين على الأقل من التطبيقات الضارة.

كيف يمكنك حماية هاتفك من حملة PhantomLance؟

أهم نصيحة يكررها خبراء الأمن حول برمجيات أندرويد الضارة هي تثبيت التطبيقات فقط من متجر جوجل، ولكن حملة (PhantomLance) تُظهر أن هناك الكثير من الأساليب التي من الممكن أن تخدع جوجل أحيانًا.

تبذل Google جهدًا كبيرًا للحفاظ على أمان متجر التطبيقات، ولكن القراصنة أيضًا مبتكرون. لذلك فإن مجرد وجود تطبيق في جوجل بلاي لا يضمن سلامته تمامًا. ضع في اعتبارك دائمًا العوامل الأخرى مثل:

يمكنك أيضًا استخدم حل أمني موثوق به، مثل: Kaspersky Total Security، حيث يوفر لك الحماية الشاملة ضد مجموعة واسعة من التهديدات.

ويشتمل الحل على تطبيق Kaspersky Secure Connection، الذي يمنع تتبع نشاط المستخدم عبر الإنترنت، ويخفي عنوان بروتوكول الإنترنت IP وموقعه، وينقل بيانات المستخدم عبر مسار آمن باستخدام الشبكة الافتراضية الخاصة.

 

 

Exit mobile version