عصابة رقمية تستهدف أجهزة أندرويد ببرمجية تجسس تحت تطبيقات رسمية

كشف باحثو كاسبرسكي عن نتائج توصلوا إليها حول تطبيق جديد للتجسس موجّه إلى الأجهزة المحمولة العاملة بنظام "أندرويد" توزعه عصابة Transparent Tribe الرقمية الناشطة في مجال التهديدات المتقدمة المستمرة (APT)وتستهدف العصابة بهذا التطبيق المستخدمين في الهند تحت ستار محتوى للبالغين أو تطبيق رسمييتعلّق بجائحة كورونا، ما يعكس تحرّك المجموعة التخريبية نحو توسعة عملياتها وإصابة الأجهزة المحمولة. ونشرتكاسبرسكي هذه النتائج وغيرها في تقرير يعرض الجزء الثاني من تحقيقاتهافي الجرائم الرقمية التي ترتكبها هذه العصابة.
وتواصل العصابات الرقمية إلى الآن إساءة استغلال جائجة فيروس كورونا المستجد عبر إطلاق مزيد من التهديدات القائمة على مبادئ الهندسة الاجتماعية. وتُعدّ Transparent Tribe، التي تتعقبها كاسبرسكي منذ أكثر من أربع سنوات، إحدى أبرز تلك العصابات التي تبنّت موضوع الجائحة في حملاتها التخريبية التجسسية.
وتظهر أحدث نتائج التحقيقات التي تجريها كاسبرسكي أن المجموعة تنشط في تحسين مجموعة أدواتها وتوسعة نطاق استهدافها ليشمل الأجهزة المحمولة. وتمكنت كاسبرسكي، في تحقيق سابق، من العثور على غِرسة برمجية خبيثة جديدة تستهدف النظام "أندرويد"Android،وتستخدمها العصابة للتجسس على الأجهزة المحمولة في هجمات في الهند استغلّت الجائحة تحت ستار تطبيقٍ إباحي أو تطبيق تعقب مزيفيتعلق بالجائحة. وجرى الربط بين العصابة والتطبيقين بفضل النطاقات التي استخدمتها العصابة لاستضافة الملفات الخبيثة الخاصة بحملاتهاالتخريبية.
ويتألف التطبيق الأول من نسخة معدلة من مشغل فيديو مفتوح المصدر يعمل على النظام أندرويد، ويعرض عند تثبيته مقطعًا إباحيًا يشكّل إلهاءً للمستخدم عن الهدف الحقيقي الخفي من التطبيق. أما التطبيق الثاني المستخدم في استهداف الأجهزة المحمولة والمسمّى AarogyaSetu، فيشبه التطبيق الرسمي الخاص بتعقّب حالات الإصابة بفيروس كورونا المستجد، والذي طوّره المركز الوطني للمعلومات التابع لوزارة الإلكترونيات وتقنية المعلومات في الحكومة الهندية.
ويحاول كلا التطبيقين، بمجرد تنزيلهما، تثبيت حزمة ملفات أخرى خاصة بأندرويد،وتشكّل نسخة معدلة من أداة التحكّم عن بُعدAhMyth Android،البرمجية الخبيثة مفتوحة المصدر التي يمكن تنزيلها من بوابةGitHub، والتي أنشئت عن طريق تركيب حمولة خبيثة داخل تطبيقات رسمية.
ويختلف الإصدار المعدّل من البرمجية الخبيثة في وظائفه عن الإصدار الأصلي؛ إذ يتضمن مزايا جديدة أضافها المخرّبون لتحسين استخلاص البيانات، في حين فُقدت بعض المزايا الأساسية، مثل سرقة الصور من الكاميرا. ويستطيع التطبيق تنزيل تطبيقات جديدة على الهاتف والوصول إلى رسائل SMS وإلى الميكروفون وسجلات المكالمات،وبإمكانه أيضًا تتبع موقع الجهاز وحصر الملفات وتحميلها إلى الخادم المتصل به.
وأكّد غيامباولو ديدولا الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن النتائج الجديدة تكشف عن الجهود الكبيرة التي تبذلها عصابة Transparent Tribeلإضافة أدوات جديدة فعالة تخوّلهم التوسع في عملياتهم والوصول إلى ضحاياهم عبر نواقل هجوم مختلفة، باتت الآن تشمل الأجهزة المحمولة، وقال: "تعمل العصابة بجدّ وباستمرار على تحسين الأدوات التي تستخدمها،ولذا ينبغي للمستخدمين توخّي مزيد من الحذر في تقييم الموارد التي يحصلون منها على المحتوى الرقمي عبر الإنترنت والحرص على إبقاء أجهزتهم آمنة من مثل هذه التهديدات، ولا سيما إذا كانوا يتوقّعون أنهم قد يكونوا مستهدفين بهجمات متقدمة".