برنامج تجسس ضار على Android، كيف يتخفى وما آلية عمله على الأجهزة المستهدفة؟
اكتشف الباحثون مؤخراً برنامج تجسس ضار على Android لسرقة المعلومات. حيث يستهدف أجهزة Android عن طريق جمع البيانات المختلفة. بدءاً من جمع عمليات البحث في المتصفح إلى تسجيل المكالمات الهاتفية والتسجيلات الصوتية.
في السابق، اتخذت البرامج الضارة على Android مظهراً مشابهاً للتطبيقات المعروفة واختبأت خلف أسماء مشابهة لبرامج موثوقة. أما هذا التطبيق الضار الجديد والمعقد يتنكر على أنه أحد تطبيقات “تحديث النظام”، وذلك للتحكم بالأجهزة المُخترقة.
قال باحثو شركة Zimperium في تحليل أجروه يوم الجمعة: “يُظهر برنامج التجسس إشعاراً إذا كانت شاشة الجهاز مغلقة عندما يتلقى أمراً باستخدام خدمة رسائل Firebase. فإن (البحث عن تحديث) ليس إشعاراً مسموحاً من نظام التشغيل، بل من برنامج التجسس”.
كيف يعمل برنامج التجسس الجديد على Android؟
بمجرد التثبيت، تبدأ حملة برامج التجسس المتطورة في مهمتها من خلال تسجيل الجهاز باستخدام خادم Firebase للأوامر والتحكم. تقوم بتسجيل معلومات مثل نسبة البطارية وإحصائيات التخزين وما إذا كان الهاتف مثبتاً على WhatsApp. تقوم هذه البرامج بعد ذلك بتجميع وتصدير أي بيانات تهم الخادم على شكل ملف مضغوط مشفر.
يتميز برنامج التجسس هذا بقدرات لا تُعد ولا تُحصى كسرقة جهات الاتصال وإشارات المتصفح المرجعية وسجل البحث وسرقة الرسائل عن طريق إساءة استخدام خدمات إمكانية الوصول وتسجيل الصوت والمكالمات الهاتفية والتقاط الصور باستخدام كاميرات الهاتف. يأتي كل ذلك مع تركيزه الكبير على التخفي. يمكنه أيضاً تتبع موقع الضحية، والبحث عن الملفات ذات الامتدادات المحددة، والاستيلاء على البيانات من حافظة الجهاز.
احذر من ارتكاب هذه الأخطاء على هاتفك الذي يعمل بنظام Android، وكيفية تجنبها
وأكد الباحثون ما يلي: “يتم تفعيل وظيفة برنامج التجسس واستخراج البيانات في حالات متعددة. كإضافة جهة اتصال جديدة أو تلقي رسائل SMS جديدة أو تطبيق جديد مثبت. حيث يستفيد من خادم Android ومستقبلات البث”.
علاوة على ذلك، لا يقوم برنامج التجسس الضار على Android بتنظيم البيانات التي تم جمعها في عدة مجلدات داخل وحدة التخزين الخاصة بها فقط، بل تقوم أيضاً بإزالة أي أثر للنشاط الضار عن طريق حذف الملفات المضغوطة بمجرد تلقيها رسالة “نجاح” من خادم Firebase.
يقلل برنامج التجسس أيضاً من استهلاك النطاق الترددي عن طريق تحميل الصور المصغرة بدلاً من الصور ومقاطع الفيديو الفعلية الموجودة في وحدة التخزين الخارجية، وذلك كمحاولة لتجنب اكتشافه.
على الرغم من عدم طرح تطبيقات تحديث النظام على متجر Google Play مطلقاً، إلا أن البحث يسلط الضوء مجدداً على إمكانية احتواء متاجر التطبيقات التابعة لجهات خارجية على برامج ضارة خطيرة. على كل حال، إن هوية مصممي البرنامج الضار والهدف النهائي وراء الحملة لا تزال غامضة حتى الآن.
اقرأ أيضاً: