تم اكتشاف برامج تجسس جديدة تستهدف الأشخاص على App Store وGoogle Play

في 26 يونيو، أعلن خبراء من شركة كاسبرسكي أنهم اكتشفوا برنامج تجسس جديد يسمى SparkKitty، مصمم لمهاجمة الهواتف الذكية التي تستخدم أنظمة التشغيل iOS وAndroid، ثم إرسال الصور ومعلومات الجهاز من الهواتف المصابة إلى خادم المهاجم.

تم تضمين SparkKitty في تطبيقات ذات محتوى متعلق بالعملات المشفرة والمقامرة، بالإضافة إلى نسخة مزيفة من تطبيق TikTok. انتشرت هذه التطبيقات ليس فقط عبر متجري App Store وGoogle Play، بل أيضًا على مواقع إلكترونية احتيالية.

وفقًا لتحليلات الخبراء، قد يكون هدف هذه الحملة سرقة العملات المشفرة من المستخدمين في جنوب شرق آسيا والصين. ويواجه المستخدمون في فيتنام أيضًا خطر التعرض لتهديدات مماثلة.

أبلغت كاسبرسكي جوجل وآبل لاتخاذ إجراءات ضد هذه التطبيقات الخبيثة. تشير بعض التفاصيل التقنية إلى أن الحملة الجديدة مرتبطة بـ SparkCat، وهو حصان طروادة تم اكتشافه سابقًا. يُعد SparkCat أول برنامج خبيث على نظام iOS مزود بوحدة مدمجة للتعرف الضوئي على الحروف (OCR)، والتي تفحص مكتبات صور المستخدمين وتسرق لقطات شاشة تحتوي على كلمات مرور أو عبارات استرداد لمحافظ العملات المشفرة.

بعد SparkCat، هذه هي المرة الثانية هذا العام التي يكتشف فيها باحثو Kaspersky برنامج سرقة حصان طروادة على App Store.

على متجر التطبيقات، يُخفى هذا البرنامج الخبيث من نوع حصان طروادة في صورة تطبيق مرتبط بالعملات المشفرة يُسمى 币coin. بالإضافة إلى ذلك، ينشر مجرمو الإنترنت هذا البرنامج الخبيث على مواقع إلكترونية احتيالية مُصممة لمحاكاة واجهة متجر تطبيقات الآيفون، متخفيًا في صورة تطبيق تيك توك وبعض ألعاب المراهنات.

anh-kaspersky-2-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — عملة 币، تطبيق مزيف لتداول العملات المشفرة، يظهر على متجر التطبيقات. (لقطة شاشة)

anh-kaspersky-3-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — موقع ويب مزيف لمتجر التطبيقات يحاول خداع المستخدمين لتثبيت تطبيق TikTok من خلال أداة المطور. (لقطة شاشة)

anh-kaspersky-4-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — متجر إلكتروني مزيف مُدمج في تطبيق تيك توك مزيف. (لقطة شاشة)

تُعد مواقع الويب المزيفة إحدى أكثر قنوات توزيع أحصنة طروادة شيوعًا، حيث يحاول المخترقون خداع المستخدمين لزيارة أجهزة iPhone وتثبيت برامج ضارة عليها. على نظام iOS، لا تزال هناك بعض الطرق المشروعة التي يستخدمها المستخدمون لتثبيت تطبيقات من خارج متجر التطبيقات. في هذا الهجوم، استغل المخترقون أداة مطورين مصممة لتثبيت تطبيقات داخلية للشركات. في النسخة المصابة من تطبيق تيك توك، بمجرد تسجيل دخول المستخدم، يسرق البرنامج الخبيث الصور من معرض الصور على الهاتف ويدخل سرًا رابطًا غريبًا إلى الصفحة الشخصية للضحية. والمثير للقلق هو أن هذا الرابط يقود إلى متجر لا يقبل سوى مدفوعات العملات المشفرة، مما يزيد من قلقنا بشأن هذه الحملة، وفقًا لسيرجي بوزان، محلل البرمجيات الخبيثة في كاسبرسكي.

على نظام أندرويد، استهدف المهاجمون المستخدمين على كلٍّ من متجر جوجل بلاي ومواقع الطرف الثالث عبر إخفاء البرمجيات الخبيثة على أنها خدمات متعلقة بالعملات المشفرة. ومن أمثلة التطبيقات المصابة تطبيق SOEX، وهو تطبيق مراسلة مدمج به خاصية تداول العملات المشفرة، وقد تم تنزيله أكثر من 10,000 مرة من المتجر الرسمي.

anh-kaspersky-5-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — تطبيق تداول العملات الرقمية SOEX المزيف على متجر جوجل بلاي. (لقطة شاشة)

بالإضافة إلى ذلك، اكتشف الخبراء أيضًا ملفات APK (ملفات تثبيت تطبيقات Android، والتي يمكن تثبيتها مباشرة دون الحاجة إلى المرور عبر Google Play) لهذه التطبيقات المصابة بالبرامج الضارة على مواقع ويب تابعة لجهات خارجية، ويُعتقد أنها مرتبطة بحملة الهجوم المذكورة أعلاه.

يُروَّج لهذه التطبيقات تحت ستار مشاريع استثمار العملات المشفرة. والجدير بالذكر أن المواقع الإلكترونية التي تُوزِّع هذه التطبيقات تحظى أيضًا بترويج واسع على منصات التواصل الاجتماعي، بما فيها يوتيوب.

بمجرد تثبيتها، تعمل التطبيقات كما هو موضح. ومع ذلك، أثناء التثبيت، تتسلل هذه التطبيقات إلى الجهاز بصمت وترسل تلقائيًا صورًا من معرض صور الضحية إلى المهاجم. قد تحتوي هذه الصور على معلومات حساسة يبحث عنها المخترقون، مثل نصوص استرداد محفظة العملات المشفرة، مما يسمح لهم بسرقة الأصول الرقمية للضحية، وفقًا لديمتري كالينين، محلل البرامج الضارة في كاسبرسكي. وأضاف: "هناك دلائل غير مباشرة على أن المهاجمين يستهدفون الأصول الرقمية للمستخدمين: فالعديد من التطبيقات المصابة مرتبطة بالعملات المشفرة، كما يتضمن الإصدار المصاب من تيك توك متجرًا يقبل مدفوعات العملات المشفرة فقط".

لتجنب الوقوع ضحية لهذا البرنامج الخبيث، توصي كاسبرسكي المستخدمين باتخاذ تدابير السلامة التالية:

- إذا قمت عن طريق الخطأ بتثبيت أحد التطبيقات المصابة، فقم بإزالة التطبيق من جهازك بسرعة ولا تستخدمه مرة أخرى حتى يتوفر تحديث رسمي لإزالة الميزة الضارة تمامًا.

تجنب تخزين لقطات شاشة تحتوي على معلومات حساسة في مكتبة الصور، وخاصةً الصور التي تحتوي على رموز استرداد محفظة العملات المشفرة. بدلاً من ذلك، يُمكن للمستخدمين تخزين معلومات تسجيل الدخول في تطبيقات مُخصصة لإدارة كلمات المرور.

ثبّت برنامج أمان موثوقًا للوقاية من خطر الإصابة بالبرامج الضارة. بالنسبة لأنظمة تشغيل iOS، ببنيتها الأمنية الفريدة، يُصدر حل كاسبرسكي تحذيرًا في حال اكتشاف جهاز ينقل بيانات إلى خادم تحكم أحد المتسللين، ويمنع عملية نقل البيانات هذه.

- عندما يطلب تطبيق الوصول إلى مكتبة الصور، يجب على المستخدمين أن يفكروا بعناية فيما إذا كان هذا الإذن ضروريًا حقًا للوظيفة الرئيسية للتطبيق.

(فيتنام+)

المصدر: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp