قام الباحثون في شركة «إسيت» بتحليل إصدار جديد من برامج التجسس على نظام التشغيل “أندرويد” التي تستغلها ” APT-C-23″، وهي مجموعة تهديدات نشطة منذ عام 2017 ومعروفة باستهدافها لمنطقة الشرق الأوسط بشكل أساسي. برنامج التجسس الجديد، الذي تم اكتشافه بواسطة منتجات وحلول الأمن السيبراني من «إسيت» مثل “Android/SpyC23.A”، والذي يعتمد على الإصدارات التي تم الإبلاغ عنها مسبقًا مع وظائف تجسس موسعة وميزات إختراق جديدة واتصالات C&C محدثة. إحدى الطرق التي يتم بها توزيع برامج التجسس عبر متجر تطبيقات أندرويد مزيفة منتحلًا صفة تطبيقات المراسلة المعروفة مثل ثريما و تليجرام.
بدأ الباحثون لدى شركة «إسيت» في التحقيق في البرامج الضارة عندما قام باحث زميل بالتغريد عن عينة برامج ضارة لنظام التشغيل “أندرويد” غير معروفة وقليلة الاكتشاف في أبريل 2020. وصرح “لوكاس إستيفانكو” الباحث والمحلل لبرامج التجسس ” Android/SpyC23.A” في شركة «إسيت»، وقال: “أظهر تحليل تعاوني أن هذا البرنامج الضار كان جزءًا من ترسانة APT-C-23 – وهي نسخة محسّنة جديدة من البرامج الضارة للأجهزة المحمولة”.
تم العثور على برامج التجسس الكامنة وراء تطبيقات تبدو مشروعة في متجر تطبيقات أندرويد مزيف. وأضاف “إستيفانكو”: “عندما حللنا المتجر المزيف، وجدناه يحتوي على عناصر ضارة ونظيفة معًا. كانت البرامج الضارة مختبئة في تطبيقات تتظاهر بأنها تحديث لنظام التشغيل أندرويد وثريما وتليجرام. وسينتهي الأمر في بعض الأحيان بوقوع الضحايا عبر تثبيت كل من البرامج الضارة والتطبيق المنتحل”.
بعد التثبيت، تطلب البرامج الضارة سلسلة من الأذونات الحساسة، متخفية في صورة ميزات الأمان والخصوصية. وشرح “إستيفانكو”: “استخدم المهاجمون تقنيات شبيهة بالهندسة الاجتماعية لخداع الضحايا لمنح البرامج الضارة حقوقًا حساسة مختلفة. على سبيل المثال، يتم إخفاء الإذن بقراءة الإخطارات كميزة تشفير للرسائل”.
بمجرد التثبيت للبرنامج الضار يمكنه تنفيذ مجموعة من أنشطة التجسس بناءً على أوامر من خادم القيادة والتحكم. إلى جانب تسجيل الصوت وتسريب سجلات المكالمات والرسائل القصيرة وجهات الاتصال؛ وسرقة الملفات، يمكن لنظام “Android/SpyC23.A ” المحدث أيضًا قراءة الإشعارات من تطبيقات المراسلة وتسجيل الشاشة والمكالمات ورفض الإشعارات من بعض تطبيقات الأمن المدمجة في نظام التشغيل لأجهزة أندرويد. خضع اتصال القيادة والتحكم الخاص بالبرامج الضارة أيضًا إلى تحديث، مما يجعل تحديد خادم القيادة والتحكم أكثر صعوبة للباحثين في مجال الأمن.
من المعروف أن مجموعة ” APT-C-23″ استخدمت كلاً من مكونات ويندوز وأندرويد في عملياتها، مع الكشف عن مكونات البرامج الضارة الموجهه لنظام أندرويد لأول مرة في عام 2017 بواسطة Qihoo 360 Technology تحت اسم Two-tailed Scorpion. منذ ذلك الحين، تم نشر تحليلات متعددة للبرامج الضارة للأجهزة المحمولة “APT-C-23″. والأصدار الأحدث من برامج التجسس ” Android/SpyC23.A” يتميز بالعديد من التحسينات التي تجعله أكثر خطورة على الضحايا.
ويختتم “إستيفانكو” تصريحاته، قائلاً: “للبقاء في مأمن من برامج التجسس، ننصح مستخدمي أجهزة أندرويد بتثبيت التطبيقات فقط من متجر جوجل بلاي الرسمي، والتحقق مرة أخرى من الأذونات المطلوبة، واستخدام حل أمني للأجهزة المحمولة موثوق به ومحدّث”.