تطبيق اندرويد يتخفى على هيئة تحديث للتجسس عليك!

اكتشف باحثون أمنيون مؤخرًا تطبيق جديد على اندرويد يتخفى على هيئة تحديث للتجسس على جهازك. وحسب Zimperium Labs، يتنكر هذا البرنامج الخبيث على هيئة تطبيق لتحديث النظام بينما يقوم بسحب بيانات المستخدم والهاتف بهدوء.

 

يجدر بالذكر أن النموذج الذي عثر عليه الباحثون كان في مستودع تطبيقات تابع لجهة خارجية، وليس داخل متجر جوجل بلاي الرسمي.

 

لكن بمجرد تثبيت هذا التطبيق، يتم تسجيل جهاز الضحية مع خادم أوامر وتحكّم Firebase C2 يتم استخدامه لإصدار الأوامر، بينما يتم استخدام C2 منفصل مخصص لإدارة سرقة البيانات.

 

ويقول فريق الباحثين أن استخراج البيانات يتم تشغيله بمجرد استيفاء الشرط المطلوب، مثل إضافة جهة اتصال جديدة للهاتف، أو تثبيت تطبيق جديد، أو عند استلام رسالة SMS.

 

أمّا فحوى البرنامج الضار فهو عبارة عن حصان طروادة للوصول عن بُعد (RAT) قادر على سرقة بيانات الموقع الجغرافي GPS، والرسائل النصية القصيرة (SMS) وقوائم جهات الاتصال، وسجلات المكالمات، وجمع الصور وملفات الفيديو، وتسجيل الصوت بالميكروفون أو فتح الكاميرا دون علم الضحية، والتنصت على المكالمات الهاتفية، وسرقة المعلومات التشغيلية مثل إحصاءات التخزين وقوائم التطبيقات المثبتة.

 

اقرأ أيضًا: تطبيق خبيث ينجح في تخطي قيود أبل الصارمة.. لكن كيف؟

 

كما أن محتويات تطبيقات التراسل الفورية – مثل واتساب – معرضة للخطر نظرًا لأن RAT يستخدم إمكانيات الوصول للتحكّم في هذه التطبيقات. وإذا قام الضحية بعمل Root للجهاز في وقت سابق، يمكن للبرنامج الضار أخذ سجلات قاعدة البيانات. كما يستطيع البحث عن أنواع ملفات مثل pdf و doc و docx و xls و xlsx.

 

ويفيد الباحثون أيضًا أن برنامج RAT سيحاول سرقة الملفات من وحدة التخزين الخارجية، لكن عادةً ما يقوم المخترق بسحب الصور والملفات ذات السعة الصغيرة حتى لا يؤثر على سرعة إنترنت الضحية ويكتشف الأمر.

 

كما لاحظ الباحثون أنّه عندما يستخدم الضحية شبكة الواي فاي، يتم إرسال جميع البيانات المسروقة من جميع المجلدات إلى خادم C2 المنفصل، بينما يتم إرسال بيانات محددة فقط عندما يكون الضحية متصلًا بإنترنت الموبايل.

 

ومع كل هذه المخاطر لا يمكننا سوى التأكيد على أهمية تنزيل التطبيقات من داخل متجر بلاي، وعدم تحميل أي برنامج من متجر خارجي مهما بدا مصدر ثقة.