يتخفى بملف تحديث وهمي خارج «غوغل بلاي»

«الصخرة السوداء».. برنامج خبيث يستهدف نظام «أندرويد»

البرنامج الخبيث يمنح نفسه حق الوصول إلى أذونات نظام تشغيل «أندرويد».■من المصدر

كشف خبراء شركة «ثريت فابريك» المتخصصة في أمن المعلومات النقاب عن تعرض الهواتف الذكية العاملة بنظام تشغيل «أندرويد» حالياً لهجمة ببرنامج خبيث من فئة أحصنة طروادة، يحمل اسم الصخرة السوداء «بلاك روك».

وأوضحوا أن البرنامج مصمم لاستهداف وسرقة أسماء المستخدمين وكلمات المرور الخاصة بـ337 تطبيقاً من التطبيقات الشائعة الاستخدام على هواتف «أندرويد»، وفي مقدمتها تطبيقات الخدمات المصرفية، والتعارف، ووسائل التواصل الاجتماعي، والمراسلة الفورية.

ونشر الخبراء تفاصيل كاملة حول تلك الهجمة على مدونة الشركة threatfabric.com/‏‏blogs، في وقت ناشدت فيه الشركة مستخدمي نظام «أندرويد» عدم تنزيل أي ملفات لتحديث نظام «أندرويد» من خارج متجر «غوغل بلاي»، أو خارج قنوات التحديث المعتمدة، لأن البرنامج الخبيث يتخفى في صورة ملف من ملفات تحديث «أندرويد»، ويحمل شعار «غوغل»، ولم يتم رصده داخل متجر «غوغل بلاي» الرسمي، وإن كان الخبراء لا يستبعدون ظهوره داخل المتجر خلال فترة وجيزة.

الصخرة السوداء

أظهرت التحليلات التي أجرها الخبراء أن برنامج الصخرة السوداء الخبيث، سلالة خبيثة أكثر تطوراً وأشد خبثاً، منسلخة من شيفرة برنامج خبيث سابق معروف باسم «إكسريكسيس»، الذي كان بدوره سلالة مطورة عن ثلاث شيفرات لبرامج خبيثة سابقة، ومع كل سلالة جديدة يتم تطويره وتحسينه بخواص إضافية أشد ضرراً، خصوصاً ما يتعلق بأساليب وتكتيكات سرقة كلمات المرور والبيانات الحساسة الأخرى التي يجري التعامل عليها مع تطبيقات المحمول المختلفة.

وكانت هذه النوعية من البرامج في السلالات السابقة تركز على سرقة واختراق التطبيقات المالية والمصرفية، لكنها وسعت أهدافها هذه المرة لتشمل 377 تطبيقاً.

طريقة العمل

وضع المجرمون هذا البرنامج داخل وعاء وهمي يبدو للمستخدمين كملف من ملفات تحديث نظام تشغيل «أندرويد» المعتاد الحصول عليها من وقت إلى آخر، بحيث يظهر بصورة مطابقة للملفات التي تصممها وتنشرها شركة «غوغل» الأميركية القائمة على تطوير النظام. وإذا ما انخدع المستخدم ونزل الملف للحصول على آخر تحديثات النظام، ثم فتح الملف محاولاً تثبيته، يظهر البرنامج الخبيث نافذة تطلب من المستخدم منحه استخدام ميزة «إمكانية الوصول» الخاصة بالهاتف التي تعد واحدة من أقوى ميزات نظام التشغيل، إذ يمكن استخدامها لأتمتة المهام، وتنفيذ النقرات نيابة عن المستخدم.

وإذا ما حصل برنامج الصخرة السوداء على هذا الإذن، يبدأ على الفور في منح نفسه حق الوصول إلى جميع أذونات وخواص «أندرويد» الأخرى، ومن بينها الإذن باستخدام وحدة «دي بي سي» أو وحدة التحكم في سياسة الجهاز، التي تعرف أيضاً بـ«ملف تعريف العمل»، لمنح نفسه حق الوصول المطلق إلى الجهاز ككل.

وعند تشغيل البرنامج للمرة الأولى على الجهاز، فإنه يخفي رمزه من شاشة الهاتف ومجلد التطبيقات، ما يجعله غير مرئي للمستخدم، ثم يصبح فعالاً وجاهزاً لتلقي الأوامر من خادم «سي 2» الخاص بالمجرمين.

«التراكبات الخبيثة»

يبدأ البرنامج بعد ذلك في استخدام تقنية «التراكبات الخبيثة»، وهي تقنية معروفة مسبقاً ومجربة، وثبت نجاحها في هجمات سابقة، وتسمح للبرنامج الضار بإظهار نافذة وهمية أمام المستخدم، عندما يبدأ تشغيل أي برنامج معروف وشرعي على هاتفه، بحيث تبدو النافذة كإحدى نوافذ البرنامج الشرعي نفسه، وتضع نفسها أعلى الشاشة، ليكتب فيها اسم المستخدم وكلمة المرور والبيانات الأخرى الحساسة، كبيانات البطاقات الائتمانية وأرقام الحسابات البنكية وغيرها، وذلك كله قبل السماح للمستخدم بالدخول إلى التطبيق الشرعي المقصود، ثم تختفي الشاشة الوهمية بعد ذلك، ليواصل المستخدم عمله كالمعتاد.

عمليات ضارة

وفضلاً عن السطو على كلمات المرور والبيانات الحساسة، لاستخدامها في السرقة والسطو، فإن «بلاك روك» يقوم بعمليات أخرى ضارة بالمستخدم، منها اعتراض الرسائل النصية القصيرة «إس إم إس»، وتنفيذ فيض من الرسائل النصية القصيرة عبر الهاتف الضحية إلى هواتف أخرى، لخدمة أغراض المخترقين، وإجراء اتصالات البريد المزعج مع الرسائل النصية المحددة مسبقاً، والتدخل لبدء تشغيل تطبيقات محددة في أوقات محددة لخدمة أغراض المهاجمين، وتشغيل برامج تسجيل الحركة على لوحة المفاتيح «كي لوجر»، والتحكم في إشعارات الدفع المخصصة، وتخريب تطبيقات مكافحة الفيروسات المثبتة على الهواتف، إذ يوجه الضحية إلى الشاشة الرئيسة للهاتف كلما حاول بدء استخدام برامج مكافحة الفيروسات الواردة في قائمته المعدة سلفاً.

الجهات المستهدفة

كشف خبراء الشركة أن البرنامج الخبيث يركز عملياته على استهداف التطبيقات المرتبطة بالبنوك العاملة في أوروبا، ثم أستراليا، ثم الولايات المتحدة وكندا، ثم بقية مناطق العالم، وذلك حسب الترتيب التنازلي لاتجاه الهجمات، وبعد التطبيقات المالية تأتي تطبيقات خدمات التسوق والأعمال، وخدمات بيع السيارات عبر الإنترنت، وخدمات البريد الإلكتروني المعروفة.

طباعة