كشف باحثون أمنيون في سيسكو تالوس عن تنويعات طروادة جديدة من تروجان والتي يتم توزيعها في التنكر البري كتطبيق مزيّف مضاد للفيروسات ، يُطلق عليه اسم "نافر ديفندر".
يطلق عليها اسم KevDroid ، والبرمجيات الخبيثة هو أداة الإدارة عن بعد (RAT) المصممة لسرقة معلومات حساسة من أجهزة الروبوت للخطر، فضلا عن القدرة على تسجيل المكالمات الهاتفية.
نشر باحثو تالوس يوم الاثنين تفاصيل تقنية حول نوعين مختلفين من KevDroid تم اكتشافه في البرية ، بعد الاكتشاف الأولي لـ Trojan من قبل شركة الأمن السيبراني الكورية الجنوبية ESTsecurity قبل أسبوعين.
على الرغم من أن الباحثين لم يعزووا هذه البرامج الضارة إلى أي قرصنة أو مجموعة ترعاها الدولة ، إلا أن وسائل الإعلام الكورية الجنوبية ربطت KevDroid مع مجموعة القرصنة التجسسية التي ترعاها كوريا الشمالية " المجموعة 123 " والمعروفة في المقام الأول باستهداف أهداف كوريا الجنوبية.
يحتوي أحدث إصدار من KevDroid malware ، الذي تم اكتشافه في شهر مارس من هذا العام ، على الإمكانيات التالية:
- تسجيل المكالمات الهاتفية والصوت
- سرقة تاريخ وملفات الويب
- كسب الوصول الجذر
- سرقة سجلات المكالمات والرسائل القصيرة ورسائل البريد الإلكتروني
- جمع موقع الجهاز في كل 10 ثوانٍ
- جمع قائمة التطبيقات المثبتة
تستخدم البرامج الضارة مكتبة مفتوحة المصدر ، متاحة على GitHub ، لاكتساب القدرة على تسجيل المكالمات الواردة والصادرة من جهاز Android المخترق.
على الرغم من أن كلتا عياري البرمجيات الخبيثة تتمتعان بنفس قدرات سرقة المعلومات على الجهاز المخترق وتسجيل مكالمات الهاتف الضحية ، إلا أن أحد هذه المتغيرات يستغل حتى ثغرة معروفة في Android (CVE-2015-3636) للحصول على الوصول إلى الجذر على الجهاز المخترق.
ثم يتم إرسال جميع البيانات المسروقة إلى خادم التحكم والتحكم (C2) الذي يسيطر عليه المهاجم ، والذي تتم استضافته على شبكة دفق البيانات العالمية PubNub ، باستخدام طلب HTTP POST.
"إذا نجح أحد الخصوم في الحصول على بعض المعلومات التي يستطيع KevDroid جمعها ، فقد يؤدي ذلك إلى العديد من المشكلات للضحية" ، مما يؤدي إلى "تسرب البيانات ، مما قد يؤدي إلى عدد من الأشياء ، مثل يقول تالوس: "إن اختطاف شخص عزيز عليك ، أو الابتزاز ، هو استخدام صور أو معلومات تعتبر سرية ، وحصاد أوراق اعتماد ، ووصول رمزي متعدد العوامل (SMS MFA) ، وانعكاسات مالية / مالية ، والوصول إلى معلومات مميزة ، ربما عبر رسائل البريد الإلكتروني / النصوص."
"يصل العديد من المستخدمين إلى بريدهم الإلكتروني عبر الأجهزة المحمولة. وهذا يمكن أن يؤدي إلى أن يكون التجسس الإلكتروني نتيجة محتملة لـ KevDroid."
اكتشف الباحثون أيضًا RAT آخر ، مصمم لاستهداف مستخدمي Windows ، ومشاركة نفس الخادم C & C ، ويستخدم أيضًا PubNub API لإرسال الأوامر إلى الأجهزة المخترقة.
كيف تحافظ على هاتفك الذكي آمنًا
يُنصح مستخدمو Android بالتحقق بانتظام من التطبيقات المثبتة على أجهزتهم للعثور على أي تطبيق ضار / مجهول / غير ضروري موجود في القائمة دون معرفتك أو موافقتك.
يمكن استخدام هذه البرامج الضارة من Android لاستهداف أجهزتك أيضًا ، لذلك إذا كنت تمتلك جهاز Android ، ننصحك بشدة باتباع هذه الخطوات البسيطة للمساعدة على تجنب حدوث ذلك:
- لا تقم مطلقًا بتثبيت التطبيقات من متاجر الطرف الثالث.
- تأكد من أنك قد اخترت بالفعل Google Play Protect .
- تمكين ميزة "التحقق من التطبيقات" من الإعدادات.
- اجعل "المصادر غير المعروفة" معطلة أثناء عدم استخدامها.
- قم بتثبيت برنامج الحماية من الفيروسات والبرامج الأمنية من بائع معروف في مجال الأمن السيبراني.
- قم بانتظام بعمل نسخة احتياطية من هاتفك.
- استخدم دائمًا تطبيق تشفير لحماية أي معلومات حساسة على هاتفك.
- لا تفتح مطلقًا المستندات التي لا تتوقعها ، حتى إذا كانت تبدو وكأنها من شخص تعرفه.
- يمكنك حماية أجهزتك باستخدام دبوس أو قفل كلمة المرور حتى لا يتمكن أي شخص من الدخول غير المصرح به إلى جهازك عند عدم متابعة الجهاز.
- حافظ على تحديث جهازك دائمًا بأحدث تصحيحات الأمان.