سلالة جديدة من فيروسات الفدية تهاجم نظم «أندرويد»

حذّر خبراء في أمن المعلومات، مستخدمي وأصحاب الأجهزة العاملة بنظم تشغيل «أندرويد»، من سلالة جديدة من فيروسات الفدية، لاتزال في طور انتشارها الأولي، وتصل إلى ضحاياها عبر رسالة نصية قصيرة، محتوية على رابط نشط خبيث.

وتتبع السلالة الجديدة أسلوب الهجمات الانتقائية، التي تركز على فئات محدودة من الضحايا، وتستخدم طريقة جديدة تجعل فك تشفير الملفات بأدوات التشفير المتاحة أمراً أقرب إلى المستحيل، في وقت أكد فيه خبراء أن الشيء الوحيد المتاح حالياً هو محاولة تجنب الإصابة بالفيروس، عبر تفادي فتح الرسائل النصية المخادعة، وامتلاك نسخة احتياطية من الملفات والبيانات.

سلالة جديدة

اكتشف السلالة الجديدة فريق من الباحثين في أمن المعلومات بشركة «إيسيت» لأمن معلومات الأجهزة المحمولة، ونشروا تقريراً مفصلاً عنها على موقع welivesecurity.com المتخصص في أمن المعلومات، أكدوا خلاله أن السلالة الجديدة، ظهرت بعد عامين من تراجع فيروسات الفدية التي تهاجم أجهزة «أندرويد»، وهي تحمل اسم «أندرويد فايل كودر سي»، وتم رصدها للمرة الأولى في 12 يوليو 2019، كملف يجري توزيعه عبر «مشاركات خبيثة» في اثنين من منتديات مطوري «أندرويد»، هما «ريديت»، و«إكس دي إيه».

طريقة الانتشار

اكتشف خبراء أمن المعلومات أن المهاجمين الذين طوروا هذه السلالة يقومون بتوزيعها من خلال نشر تعليقات خبيثة، متعلقة بموضوعات إباحية أو غير إباحية، تغري زوار ومستخدمي منتديات مطوري «أندرويد»، سواء كانت لها علاقة بالموضوعات الجاري مناقشتها على المنتدى أم لا، ويحرصون على أن تكون المشاركات جاذبة، وفي جميع التعليقات التي ثبت نشرها من قبلهم، كان هناك دائماً رابط أو «كود» من نوعية «كيو آر»، يشير دوماً إلى تطبيقات يظهرها المهاجمون باعتبارها أشياء مفيدة، وتحمل حلولاً أو مساهمات قيمة، أو محتوى إباحياً، أو طريقة للتواصل مع آخرين عبر «المحمول»، وعند الضغط عليه من قبل مستخدم المنتدى، يتم نقل التطبيق الحامل للفيروس إلى جهاز المستخدم. وأكد الباحثون أنه تم رصد 59 حالة، وقع فيها زوار ومطورون في هذا الفخ، بعد الضغط على هذه الأكواد الخبيثة.

انتشار الفيروس

مع تتبع سير الهجمة، تبين أن الفيروس حينما يصل إلى هواتف وأجهزة الذين وقعوا في فخ هذه الإغراءات، يتثبت نفسه فوراً، ثم يصل إلى قائمة جهات الاتصال بالجهاز، ويبدأ بإرسال رسائل نصية قصيرة تتضمن رابطاً نشطاً، تظهر فيه بعض المغريات، مثل صورة المرسل إليه، والإشارة إلى أن المرفق تطبيق مفيد، يقوم بوظائف يحتاجها المستخدم، أو يقود إلى أشياء «إباحية».

ولتحقيق أقصى قدر من الانتشار والخداع والجذب، يعمد الفيروس إلى الوصول إلى قائمة «إعدادات» اللغة في نظام تشغيل الجهاز المصاب، ويرسل رسائل باللغة التي ضبطت إعدادات الجهاز عليها، كما تبين أن الفيروس قادر على إرسال رسائله بـ42 لغة مختلفة، ويلحق اسم صاحب جهة الاتصال وبعض بياناته مع الرسائل، كنوع من جعلها رسائل خاصة من جهة موثوق بها.

التثبيت والتشغيل

وبمجرد وصول الرسالة المخادعة إلى الضحايا، يكون من المتعين أن يضغط الضحية يدوياً على الرابط النشط المحتوي على التطبيق الضار، أو فيروس التشفير، وبمجرد الضغط تبدأ على الفور عملية التثبيت، ثم تشغيل التطبيق، وفي البداية يعرض التطبيق كل ما وعد به في المعلومات التي تبدو في الرسالة، وفي الغالب يكون الأمر عبارة عن لعبة محاكاة جنسية، وفي غضون عرض اللعبة، يكون البرنامج أو التطبيق قد حقق التواصل بين الجهاز الضحية، والكمبيوتر الخادم الخاص بالمهاجم أو المجرم الذي أطلق الفيروس، وتتضمن عملية التواصل بين الطرفين تشغيل طريقة تحصيل الفدية، وإرسال مفاتيح فك التشفير بعد قيام الضحية بالدفع.

وتكون الفدية عادة جزءاً من عملة بيتكوين، التي تزيد قيمتها على 9400 دولار حالياً، ويطلب المهاجمون فدية قيمتها تعادل بين 94 و188 دولاراً.

نصائح لتجنب الفيروس

1. تحديث الأجهزة، ثم ضبطها بشكل مثالي على التصحيح والتحديث تلقائياً.

2. حافظ دائماً على وجود نسخة محدثة من الملفات في وحدة تخزين مستقلة غير متصلة بالإنترنت على الإطلاق.

3. استخدم متاجر التطبيقات ذات السمعة الحسنة والموثوق بها فقط.

4. لا تنخدع وراء أي رسائل تتضمن إيحاءات بمواد وارتباطات إباحية وجنسية.

5. قبل تثبيت أي تطبيق، تحقق من تقييماته وتعليقاته، وركز على التعليقات السلبية، إذ إنها غالباً ما تأتي من مستخدمين شرعيين.

6. تحقق من الصلاحيات والأذونات المطلوبة من قبل التطبيق.

7. استخدم حلاً آمناً من حلول التأمين لحماية الأجهزة المحمولة لحماية جهازك.