تم اكتشاف برامج تجسس جديدة تستهدف المستخدمين على متجر التطبيقات وجوجل بلاي.

في 26 يونيو، أعلن خبراء كاسبرسكي عن اكتشاف برنامج تجسس جديد يسمى SparkKitty، مصمم لمهاجمة الهواتف الذكية التي تستخدم أنظمة التشغيل iOS و Android، ثم إرسال الصور ومعلومات الجهاز من الهواتف المصابة إلى خادم المهاجم.

تُدمج برمجية SparkKitty الخبيثة في تطبيقات ذات محتوى متعلق بالعملات المشفرة والمقامرة، بالإضافة إلى نسخة مزيفة من تطبيق TikTok. ولا تقتصر هذه التطبيقات على متجري App Store وGoogle Play فحسب، بل تُوزع أيضاً عبر مواقع التصيد الاحتيالي.

بحسب تحليل الخبراء، قد يكون هدف هذه الحملة سرقة العملات الرقمية من المستخدمين في جنوب شرق آسيا والصين. كما أن المستخدمين في فيتنام معرضون لخطر مماثل.

أبلغت كاسبرسكي شركتي جوجل وآبل بضرورة معالجة التطبيقات الخبيثة المذكورة آنفًا. تشير بعض التفاصيل التقنية إلى أن حملة الهجوم الجديدة هذه مرتبطة ببرنامج SparkCat، وهو حصان طروادة تم اكتشافه سابقًا. يُعد SparkCat أول برنامج خبيث على نظام iOS مزود بوحدة التعرف الضوئي على الأحرف (OCR) مدمجة لمسح مكتبات صور المستخدمين، وسرقة لقطات الشاشة التي تحتوي على كلمات المرور أو عبارات استعادة محافظ العملات الرقمية.

بعد برنامج SparkCat، هذه هي المرة الثانية هذا العام التي يكتشف فيها باحثو كاسبرسكي برامج خبيثة لسرقة البيانات من نوع حصان طروادة على متجر التطبيقات.

في متجر التطبيقات، يتخفى هذا البرنامج الخبيث من نوع حصان طروادة في هيئة تطبيق متعلق بالعملات المشفرة يُدعى "币coin". بالإضافة إلى ذلك، يقوم مجرمو الإنترنت بتوزيع هذا البرنامج الخبيث على مواقع تصيد مصممة لتقليد واجهة متجر تطبيقات آيفون، متخفيين وراء تطبيق تيك توك وبعض ألعاب القمار.

anh-kaspersky-2-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — ظهر تطبيق "币coin"، وهو تطبيق مزيف لتداول العملات الرقمية، على متجر التطبيقات. (لقطة شاشة)

anh-kaspersky-3-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — تم إنشاء موقع ويب مزيف لمتجر التطبيقات لخداع المستخدمين وحملهم على تثبيت تطبيق TikTok من خلال أدوات المطورين. (لقطة شاشة)

anh-kaspersky-4-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — تم دمج متجر إلكتروني وهمي داخل تطبيق TikTok وهمي. (لقطة شاشة)

صرح سيرجي بوزان، محلل البرمجيات الخبيثة في كاسبرسكي، قائلاً: "تُعدّ المواقع الإلكترونية المزيفة إحدى أكثر قنوات توزيع برامج حصان طروادة الخبيثة شيوعًا، حيث يحاول المخترقون خداع المستخدمين للوصول إلى أجهزة آيفون الخاصة بهم وتثبيت برامج ضارة عليها. لا يزال نظام التشغيل iOS يوفر بعض الطرق المشروعة لتثبيت التطبيقات من خارج متجر التطبيقات. في هذا الهجوم، استغل المخترقون أداةً للمطورين مصممة لتثبيت التطبيقات داخليًا في الشركات. في نسخة تيك توك المصابة، فور تسجيل دخول المستخدم، سرقت البرمجية الخبيثة الصور من معرض الهاتف وأدرجت سرًا رابطًا غريبًا في صفحة ملف تعريف الضحية. الأمر المقلق هو أن هذا الرابط كان يؤدي إلى متجر لا يقبل إلا مدفوعات العملات المشفرة، مما يزيد من مخاوفنا بشأن هذه الحملة."

في نظام التشغيل أندرويد، يستهدف المهاجمون المستخدمين على متجر جوجل بلاي ومواقع إلكترونية أخرى، وذلك بإخفاء برامج خبيثة على هيئة خدمات متعلقة بالعملات الرقمية. ومن الأمثلة على التطبيقات المصابة تطبيق SOEX، وهو تطبيق مراسلة مزود بخاصية تداول العملات الرقمية، وقد تجاوز عدد مرات تحميله 10,000 مرة من متجره الرسمي.

anh-kaspersky-5-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — تطبيق مزيف لتبادل العملات المشفرة باسم SOEX على متجر جوجل بلاي. (لقطة شاشة)

بالإضافة إلى ذلك، اكتشف الخبراء أيضًا ملفات APK (ملفات تثبيت تطبيقات Android، والتي يمكن تثبيتها مباشرة دون المرور عبر Google Play) لهذه التطبيقات المصابة على مواقع ويب تابعة لجهات خارجية، ويعتقد أنها مرتبطة بحملة الهجوم المذكورة أعلاه.

يتم الترويج لهذه التطبيقات على أنها مشاريع استثمارية في العملات المشفرة. والجدير بالذكر أن المواقع الإلكترونية التي توزع هذه التطبيقات تحظى أيضاً بترويج واسع النطاق على وسائل التواصل الاجتماعي، بما في ذلك يوتيوب.

صرح ديمتري كالينين، محلل البرمجيات الخبيثة في كاسبرسكي، قائلاً: "بعد التثبيت، تعمل هذه التطبيقات كما هو موضح في البداية. إلا أنها تتسلل إلى الجهاز خلسةً أثناء التثبيت، وترسل تلقائيًا صورًا من معرض الصور الخاص بالضحية إلى المهاجم. قد تحتوي هذه الصور على معلومات حساسة يبحث عنها المخترقون، مثل رموز استعادة محافظ العملات الرقمية، مما يسمح لهم بسرقة الأصول الرقمية للضحية. هناك العديد من المؤشرات غير المباشرة التي تدل على أن المجموعة المهاجمة تستهدف الأصول الرقمية للمستخدمين: فالعديد من التطبيقات المصابة مرتبطة بالعملات الرقمية، كما أن النسخة المصابة من تطبيق تيك توك تتضمن متجرًا لا يقبل إلا مدفوعات العملات الرقمية."

ولتجنب الوقوع ضحية لهذا البرنامج الخبيث، توصي كاسبرسكي المستخدمين باتخاذ تدابير السلامة التالية:

- إذا قمت بتثبيت أحد التطبيقات المصابة عن طريق الخطأ، فقم بإزالته بسرعة من جهازك ولا تستخدمه مرة أخرى حتى يتم إصدار تحديث رسمي لإزالة الميزات الضارة تمامًا.

تجنب حفظ لقطات الشاشة التي تحتوي على معلومات حساسة في مكتبة الصور، وخاصة الصور التي تحتوي على رموز استعادة محافظ العملات الرقمية. بدلاً من ذلك، يمكن للمستخدمين تخزين معلومات تسجيل الدخول في تطبيقات مخصصة لإدارة كلمات المرور.

- ثبّت برنامج أمان موثوقًا به لتجنب خطر الإصابة بالبرامج الضارة. بالنسبة لنظام التشغيل iOS ذي البنية الأمنية الفريدة، سيُنبّهك حل كاسبرسكي إذا اكتشف أن الجهاز يُرسل بيانات إلى خادم تحكم تابع لمخترق، وسيحظر عملية نقل البيانات هذه.

- عندما يطلب أحد التطبيقات الوصول إلى مكتبة الصور، يجب على المستخدمين التفكير ملياً فيما إذا كان هذا الإذن ضرورياً حقاً للوظيفة الرئيسية للتطبيق.

(فيتنام+)

المصدر: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp