-->
الصفحة الرئيسية

برنامج ClayRat التجسسي الجديد يستهدف مستخدمي أندرويد عبر تطبيقات WhatsApp وTikTok المزيفة

Almoktachif Computer Technologie
خط المقالة

 


في حملة تجسس إلكتروني سريعة التطور تستهدف نظام أندرويد، تم رصد برمجية خبيثة جديدة تُعرف باسم ClayRat، تستهدف المستخدمين في روسيا من خلال قنوات تيليغرام ومواقع تصيّد إلكتروني مزيّفة تُقلّد تطبيقات شهيرة مثل واتساب، صور جوجل، تيك توك، ويوتيوب لخداع المستخدمين ودفعهم إلى تثبيتها على أجهزتهم.

قال الباحث الأمني فيشنو براتاباجيري من شركة Zimperium في تقرير نُشر عبر موقع The Hacker News:


«بمجرد تنشيطها، يمكن لبرمجية التجسس سرقة الرسائل النصية وسجلات المكالمات والإشعارات ومعلومات الجهاز، كما يمكنها التقاط الصور بالكاميرا الأمامية، بل وإرسال رسائل نصية أو إجراء مكالمات مباشرة من جهاز الضحية.»

وأشار التقرير إلى أن البرمجية مصممة للتكاثر الذاتي من خلال إرسال روابط خبيثة إلى جميع جهات الاتصال الموجودة في هاتف الضحية، في تكتيك عدواني يهدف إلى استخدام الأجهزة المخترقة كوسيلة لنشر العدوى.

وكشفت الشركة أن منظومتها الأمنية رصدت أكثر من 600 عينة و50 برنامج تنزيل (Dropper) خلال آخر 90 يوماً، مع قيام كل نسخة جديدة بإضافة طبقات معقدة من التمويه لتجنب أنظمة الكشف والبقاء خطوة متقدمة على وسائل الدفاع الأمني. ويعود اسم ClayRat إلى لوحة التحكم (C2) التي يستخدمها المهاجمون لإدارة الأجهزة المصابة عن بُعد.

تبدأ سلسلة الهجوم بإعادة توجيه الزائرين إلى مواقع تصيّد مزيفة، ومنها إلى قنوات تيليغرام تحت سيطرة المهاجمين، حيث يُخدعون لتنزيل ملفات APK من خلال تزوير أعداد التنزيلات ونشر شهادات مزيفة توحي بشعبية التطبيقات.

في بعض الحالات، ادّعت مواقع خبيثة أنها تقدم تطبيق "YouTube Plus" بميزات حصرية، واستضافت ملفات APK قادرة على تجاوز قيود الأمان المفروضة من جوجل لمنع تثبيت التطبيقات خارج المتجر (sideloading) على الأجهزة التي تعمل بنظام Android 13 وما بعده.

وأوضحت الشركة:


«لتجاوز القيود التي فرضتها الإصدارات الحديثة من أندرويد، تعمل بعض نسخ ClayRat كمُثبّتات أولية (droppers)، إذ يظهر التطبيق للمستخدم كأنه أداة تحديث من متجر Play، بينما تكون الحمولة الخبيثة المشفّرة مخفية داخل ملفات التطبيق نفسه. هذه الطريقة تقلل من شعور المستخدم بالخطر وتزيد احتمال نجاح التثبيت أثناء تصفح صفحة خبيثة.»

بعد التثبيت، يستخدم ClayRat بروتوكول HTTP للاتصال بخوادم القيادة والسيطرة (C2)، ويطلب من المستخدم تعيينه كـ تطبيق الرسائل القصيرة الافتراضي للوصول إلى المحتوى الحساس والوظائف المتعلقة بالرسائل. ومن خلال ذلك، يتمكن من تسجيل المكالمات، وقراءة الرسائل، واعتراض الإشعارات، وإعادة إرسال العدوى إلى جميع جهات الاتصال.

تشمل وظائف البرمجية أيضاً إجراء المكالمات، جمع معلومات الجهاز، التقاط الصور، وإرسال قائمة التطبيقات المثبتة إلى الخادم البعيد.

وتكمن خطورة ClayRat في قدراتها التجسسية العالية، إلى جانب قدرتها على تحويل الجهاز المصاب إلى عقدة توزيع ذاتية تنشر العدوى بشكل آلي، مما يسمح للمهاجمين بتوسيع نطاق الهجمات بسرعة ودون تدخل بشري مباشر.

وقال متحدث باسم جوجل لـ The Hacker News إن مستخدمي أندرويد محميون تلقائياً من الإصدارات المعروفة من البرمجية عبر خدمة Google Play Protect، التي تكون مفعّلة بشكل افتراضي على جميع الأجهزة التي تستخدم خدمات جوجل بلاي.

ويأتي هذا التطور في الوقت الذي كشفت فيه دراسة أجراها باحثون من جامعة لوكسمبورغ وجامعة الشيخ أنتا ديوب أن بعض تطبيقات النظام المثبتة مسبقاً على هواتف أندرويد منخفضة التكلفة تُباع في إفريقيا تعمل بصلاحيات مرتفعة، وأن إحدى الحزم المُورّدة من الشركات المُصنّعة كانت ترسل معرّفات الأجهزة وبيانات الموقع إلى جهة خارجية.

فقد فحص الباحثون 1,544 ملف APK من سبعة هواتف إفريقية، ووجدوا أن:

  • 145 تطبيقاً (9%) تسرب بيانات حساسة،

  • 249 تطبيقاً (16%) تعرض مكونات حرجة دون حماية كافية،

  • 226 تطبيقاً تنفّذ أوامر خطيرة بصلاحيات مرتفعة،

  • 79 تطبيقاً تتفاعل مع الرسائل القصيرة (قراءة، إرسال، حذف)،

  • 33 تطبيقاً تنفذ عمليات تثبيت صامتة دون علم المستخدم.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق

    إرسال تعليق

    الاسمبريد إلكترونيرسالة