القبض على فيروسات الفلاش !

اكتشف باحثو كاسبرسكي لاب نشاطاً مريباً وغير عادي في واحدة من إصدارات البرمجيات الخبيثة المندسّة في إحدى مواقع الإنترنت المصابة، الأمر الذي جعل مستخدمي الأجهزة بنظام Android عرضة للمخاطر.
وهذا الإصدار عادة ما يقوم بتفعيل عملية تحميل الثغرات الأمنية غير المكتشفة (Exploits) في ذاكرة الفلاش (Flash)، وذلك لغرض مهاجمة مستخدمي نظام التشغيل Windows، ولكن السيناريو المذكور قد تغير في بعض الحالات، حيث لوحظ بأن هذا الإصدار يقوم بالتحقق من نوع الجهاز الذي يستخدمه الضحايا، مستهدفاً على وجه التحديد الإصدار رقم 4 من نظام التشغيل Android والإصدارات الأقدم. وبعد توصلهم إلى هذا الاكتشاف الخطير، قرر خبراء كاسبرسكي لاب التعمق أكثر في هذا الاتجاه.
وبالنسبة لمجرمي الإنترنت، تعتبر محاولات إصابة الأجهزة بنظام Android أكثر صعوبة من تلك التي تستهدف أجهزة الكمبيوتر الشخصي بنظام Windows. ويعود ذلك إلى أن الأجهزة بنظام Windows OS، وغيرها من التطبيقات واسعة الانتشار المثبتة عليها، تحتوي على ثغرات أمنية تسمح بتفعيل وتنفيذ رمز تشفير البرمجية الخبيثة من دون أي تواصل مع المستخدم. وهذا لا ينطبق على الأجهزة بنظامAndroid OS، والسبب في ذلك عائد إلى أن تثبيت أي تطبيق على تلك الأجهزة يتطلب تأكيداً من مالك الجهاز بنظامAndroid . ومع هذا، هناك ثغرات أمنية في نظامOS من الممكن استغلالها لتخطي هذا المطلب أو القيد، وقد حدث هذا بالفعل وفقاً لما توصل إليه باحثونا أثناء تحقيقاتهم.
تحتوي النسخة البرمجية على مجموعة من التعليمات الخاصة ليتم تنفيذها في المتصفح وتكون مدسوسة في رمز تشفير موقع الإنترنت المصاب، تم اكتشاف النسخة البرمجية الأولى أثناء بحثها عن أجهزة تشغل بإصداراتAndroid OS القديمة. وفي وقت لاحق، تم الكشف عن نسختين برمجيتين إضافيتين مشبوهتين، تميزت الأولى منهما بقدرتها على إرسال رسائل نصية قصيرة إلى أي من أرقام أجهزة الهواتف المتنقلة، في حين تمكنت الأخرى من إنشاء ملفات خبيثة على بطاقات (SD) للجهاز المصاب. وتبين أن هذا الملف الخبيث هو من نوع (Trojan) ولديه القدرة على اعتراض وإرسال الرسائل النصية القصيرة، كلا النسختين البرمجيتين الخبيثتين تمكنتا من تنفيذ مهامهما بشكل مستقل عن طريق مستخدمي الأجهزة بنظامAndroid. بمعنى آخر، لم يتطلب الأمر من المستخدم سوى زيارة أي موقع إنترنت مصاب بشكل متكرر ليتم اختراقه.
وقد أصبح هذا ممكنا نظراً لقدرة مجرمي الانترنت على استغلال العديد من الثغرات الامنية الكامنة في أنظمة Android، الإصدارات رقم 4.1.x والأقدم منها، وهي على وجه التحديد: CVE-2012-6636CVE-20134710وCVE-2014-1939. تم تصحيح هذه الثغرات الأمنية الثلاث من قبلGoogle بين عامي 2012 و2014 ولكن مخاطر اختراق تلك الثغرات لاتزال قائمة، على سبيل المثال، نظرا لخصائص نظامAndroid الإيكولوجي، يقوم العديد من الموردين الذين ينتجون أجهزة بنظام التشغيل Android بطرح التحديثات الأمنية اللازمة ببطء شديد. والبعض منهم لا يقومون بطرح أي تحديثات إطلاقاً بسبب قدم المواصفات الفنية لطرازات معينة من تلك الأجهزة.
واشار فيكتور تشيبيشيف، الخبير الأمني في كاسبرسكي لاب ،إن مستوى تقنيات استغلال الثغرات الأمنية التي رصدناها أثناء تحقيقاتنا البحثية لم تكن شيئاً جديدا بل مستقاة من مفاهيم مثبتة قام بنشرها الباحثون الأمنيون ذوو القبعات البيضاء (White Hat Researchers). وهذا يعني أنه يتعين على موردي الأجهزة بنظام Android الأخذ في الحسبان حقيقة أن نشر إصدارات (PoCs) سيؤدي حتماً إلى ظهور ثغرات أمنية يصعب اختراقها (Armed). وبالتالي، فإن مستخدمي هذه الأجهزة يستحقون الحماية من خلال تزويدهم بالتحديثات الأمنية ذات الصلة، حتى في حال لم يتم بيع تلك الأجهزة في ذلك الوقت.
ولحماية أجهزتكم من هجمات البرمجيات الخبيثة التي يتم تحميلها على الجهاز تلقائياً عند تصفح الإنترنت والمعروفة باسم (Drive-by Attacks) يوصي خبراء كاسبرسكي لاب المستخدمين باتباع الاتي،احرصوا على إبقاء أجهزتكم المشغلة ببرنامج Android محدثة دائماً من خلال تفعيل خاصية التحديث التلقائي... امنعوا تثبيت التطبيقات من مصادر Google Play البديلة، وخاصة في حال قيامكم بإدارة مجموعة من الأجهزة المستخدمة في شبكات الشركة... استخدموا الحلول الأمنية المثبتة مثل حل Kaspersky Internet Security for android للأجهزة بنظامAndroid وحلKaspersky Security for mobile للاجهزة المتنقلة وحلMobile Device Management التي تتيح لكم تتبع التغييرات التي تطرأ على بطاقة (SD) المثبة في الجهاز في الوقت الحقيقي.