تم اكتشاف برنامج تجسس جديد يستهدف الأشخاص على متجر التطبيقات وجوجل بلاي

في 26 يونيو، أعلن خبراء من شركة كاسبرسكي أنهم اكتشفوا برنامج تجسس جديد يسمى SparkKitty، مصمم لمهاجمة الهواتف الذكية التي تستخدم أنظمة التشغيل iOS وAndroid، ثم إرسال الصور ومعلومات الجهاز من الهواتف المصابة إلى خادم المهاجم.

تم تضمين SparkKitty في تطبيقات تتضمن محتوى متعلقًا بالعملات المشفرة والمقامرة، بالإضافة إلى نسخة مزيفة من تطبيق TikTok. انتشرت هذه التطبيقات ليس فقط عبر متجري App Store وGoogle Play، بل أيضًا على مواقع إلكترونية احتيالية.

وفقًا لتحليلات الخبراء، قد يكون هدف هذه الحملة سرقة العملات المشفرة من المستخدمين في جنوب شرق آسيا والصين. ويواجه المستخدمون في فيتنام أيضًا خطر التعرض لتهديدات مماثلة.

أبلغت كاسبرسكي جوجل وآبل لاتخاذ إجراءات ضد هذه التطبيقات الخبيثة. تشير بعض التفاصيل التقنية إلى أن الحملة الجديدة مرتبطة بـ SparkCat، وهو حصان طروادة تم اكتشافه سابقًا. يُعد SparkCat أول برنامج خبيث على نظام iOS مزود بوحدة مدمجة للتعرف الضوئي على الحروف (OCR)، والتي تفحص مكتبة صور المستخدم وتسرق لقطات شاشة تحتوي على كلمات مرور أو عبارات استرداد لمحافظ العملات المشفرة.

بعد SparkCat، هذه هي المرة الثانية هذا العام التي يكتشف فيها باحثو Kaspersky برنامج سرقة حصان طروادة على App Store.

على متجر التطبيقات، يظهر هذا البرنامج الخبيث من نوع حصان طروادة متخفيًا في صورة تطبيق مرتبط بالعملات المشفرة يُسمى 币coin. بالإضافة إلى ذلك، ينشر مجرمو الإنترنت هذا البرنامج الخبيث على مواقع إلكترونية احتيالية مصممة لتقليد واجهة متجر تطبيقات الآيفون، متخفيًا في صورة تطبيق تيك توك وبعض ألعاب المراهنات.

anh-kaspersky-2-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — عملة 币، تطبيق تداول العملات المشفرة المزيف يظهر على متجر التطبيقات. (لقطة شاشة)

anh-kaspersky-3-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — موقع ويب مزيف لمتجر التطبيقات يحاول خداع المستخدمين لتثبيت تطبيق TikTok من خلال أدوات المطور. (لقطة شاشة)

anh-kaspersky-4-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — متجر إلكتروني مزيف مُدمج في تطبيق تيك توك مزيف. (لقطة شاشة)

تُعد مواقع الويب المزيفة إحدى أكثر قنوات توزيع أحصنة طروادة شيوعًا، حيث يحاول المخترقون خداع المستخدمين لزيارة أجهزة iPhone وتثبيت برامج ضارة عليها. على نظام iOS، لا تزال هناك بعض الطرق المشروعة التي يستخدمها المستخدمون لتثبيت تطبيقات من خارج متجر التطبيقات. في هذه الحملة الهجومية، استغل المخترقون أداة مطورين مصممة لتثبيت تطبيقات داخلية في الشركات. في النسخة المصابة من تطبيق تيك توك، بمجرد تسجيل دخول المستخدم، يسرق البرنامج الخبيث الصور من معرض الصور الخاص بالهاتف ويدخل سرًا رابطًا غريبًا في ملف تعريف الضحية. والمثير للقلق هو أن هذا الرابط يؤدي إلى متجر لا يقبل سوى مدفوعات العملات المشفرة، مما يزيد من قلقنا بشأن هذه الحملة، وفقًا لسيرجي بوزان، محلل البرمجيات الخبيثة في كاسبرسكي.

على نظام أندرويد، استهدف المهاجمون المستخدمين على كلٍّ من جوجل بلاي ومواقع الطرف الثالث، مُخفين البرمجيات الخبيثة على أنها خدمات متعلقة بالعملات المشفرة. ومن أمثلة التطبيقات المصابة تطبيق SOEX، وهو تطبيق مراسلة مُدمج به خاصية تداول العملات المشفرة، وقد تم تنزيله أكثر من 10,000 مرة من متجره الرسمي.

anh-kaspersky-5-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — تطبيق تداول العملات المشفرة SOEX المزيف على جوجل بلاي. (لقطة شاشة)

بالإضافة إلى ذلك، اكتشف الخبراء أيضًا ملفات APK (ملفات تثبيت تطبيقات Android، والتي يمكن تثبيتها مباشرة دون الحاجة إلى المرور عبر Google Play) لهذه التطبيقات المصابة بالبرامج الضارة على مواقع ويب تابعة لجهات خارجية، ويُعتقد أنها مرتبطة بحملة الهجوم المذكورة أعلاه.

يُروَّج لهذه التطبيقات تحت ستار مشاريع استثمارية في العملات المشفرة. والجدير بالذكر أن المواقع الإلكترونية التي تُوزِّع هذه التطبيقات تحظى أيضًا بترويج واسع على منصات التواصل الاجتماعي، بما فيها يوتيوب.

قال ديمتري كالينين، محلل البرمجيات الخبيثة في كاسبرسكي: "بمجرد تثبيت التطبيقات، تعمل كما هو موضح. ومع ذلك، أثناء التثبيت، تتسلل هذه التطبيقات إلى الجهاز بصمت وترسل تلقائيًا صورًا من معرض صور الضحية إلى المهاجم. قد تحتوي هذه الصور على معلومات حساسة يبحث عنها المهاجمون، مثل نصوص استرداد محفظة العملات المشفرة، مما يسمح لهم بسرقة الأصول الرقمية للضحية. هناك دلائل غير مباشرة على أن المهاجمين يستهدفون الأصول الرقمية للمستخدمين: العديد من التطبيقات المصابة مرتبطة بالعملات المشفرة، كما يتضمن الإصدار المصاب من تيك توك متجرًا يقبل مدفوعات العملات المشفرة فقط."

لتجنب الوقوع ضحية لهذا البرنامج الخبيث، توصي كاسبرسكي المستخدمين باتخاذ تدابير السلامة التالية:

- إذا قمت عن طريق الخطأ بتثبيت أحد التطبيقات المصابة، فقم بإزالة التطبيق من جهازك بسرعة ولا تستخدمه مرة أخرى حتى يتوفر تحديث رسمي لإزالة الميزة الضارة تمامًا.

تجنب تخزين لقطات شاشة تحتوي على معلومات حساسة في مكتبة الصور، وخاصةً الصور التي تحتوي على رموز استرداد محفظة العملات المشفرة. بدلاً من ذلك، يُمكن للمستخدمين تخزين معلومات تسجيل الدخول في تطبيقات مُخصصة لإدارة كلمات المرور.

ثبّت برنامج أمان موثوقًا للوقاية من خطر الإصابة بالبرامج الضارة. بالنسبة لأنظمة تشغيل iOS ذات بنية أمان محددة، يُصدر حل كاسبرسكي تحذيرًا في حال اكتشافه جهازًا يُرسل بيانات إلى خادم التحكم الخاص بالمخترق، ويمنع عملية إرسال البيانات هذه.

- عندما يطلب تطبيق الوصول إلى مكتبة الصور، يجب على المستخدمين أن يفكروا بعناية فيما إذا كان هذا الإذن ضروريًا حقًا للوظيفة الرئيسية للتطبيق.

(فيتنام+)

المصدر: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp