البرامج الضارة الجديدة حلت محل تطبيقات أندرويد الشرعية بأجهزة وهمية على 25 مليون جهاز
هل أنت متأكد من أن تطبيق WhatsApp الذي تستخدمه على جهاز Android لديك مشروع ، حتى لو كان يعمل بشكل مثالي كما هو مقصود؟
... أو تطبيق JioTV أو AppLock أو HotStar أو Flipkart أو Opera Mini أو Truecaller - إذا كنت قد قمت بتثبيت أي من هذه؟
أنا أسأل هذا لأن باحثي الأمن السيبراني كشفوا بالأمس عن تفاصيل جذابة حول حملة برمجيات خبيثة على نطاق واسع لنظام Android حيث قام المهاجمون بصمت باستبدال التطبيقات الشرعية المثبتة بإصداراتهم الضارة على حوالي 25 مليون هاتف محمول.
الآن السؤال المهم هنا هو كيف يفعلون ذلك ولماذا؟
وفقًا للباحثين في Check Point ، يوزع المهاجمون نوعًا جديدًا من البرامج الضارة التي تعمل بنظام Android والتي تتنكر في صورة تحرير صور بريء أو ترفيه للبالغين أو تطبيقات ألعاب ومتاحة من خلال متاجر تطبيقات تابعة لجهات خارجية تستخدم على نطاق واسع.
Dubbed Agent Smith ، تستفيد البرامج الضارة من العديد من الثغرات الأمنية في نظام Android ، مثل خلل Janus و Man-in-the-flaw ، وتضخ الكود الضار في ملفات APK الخاصة بالتطبيقات المستهدفة المثبتة على جهاز مخترق ، ثم تعيد تلقائيًا تثبيت / تحديث لهم دون معرفة الضحايا أو التفاعل.
وكتب الباحثون في تقريرهم المنشور: "لا يكفي أن تقوم عائلة البرمجيات الخبيثة هذه بتبادل تطبيق بريء واحد بمضاعفة مصابة. إنه يفعل ذلك لكل تطبيق على الجهاز طالما أن أسماء الحزمة مدرجة في قائمة فريسته" . الأربعاء."بمرور الوقت ، ستعمل هذه الحملة أيضًا على إصابة نفس الجهاز ، بشكل متكرر ، بأحدث التصحيحات الضارة. وهذا يقودنا إلى تقدير وجود أكثر من 2.8 مليار إصابة في المجموع ، على 25 مليون جهاز فريد ، مما يعني أنه في المتوسط ، كل ضحية لكان قد عانى ما يقرب من 112 مقايضة من التطبيقات البريئة. "
تم تصميم البرنامج الضار ، الذي يعتقد الباحثون أنه مرتبط بشركة مقرها الصين ، لتحقيق مكاسب مالية من خلال تقديم إعلانات ضارة للضحايا.
كيف العامل سميث البرامج الضارة العمل؟
عند تثبيت تطبيقات boobytrapped ، تعمل البرامج الضارة لبرنامج Agent Smith على تعزيز سلسلة العدوى ثلاثية المراحل وتحتوي على وحدات مختلفة لكل خطوة ، يتم شرح عملها أدناه:
1.) Loader Module - يحتوي التطبيق الأولي الذي يقوم بتوزيع البرامج الضارة على وحدة تسمى Loader ، الغرض الوحيد منه هو فك تشفير واستخراج وتشغيل وحدة المرحلة الثانية المسماة Core.
2.) Core Module - بمجرد تنفيذها ، تتصل الوحدة النمطية Core بخادم C&C الخاص بالمهاجمين لتلقي قائمة بالتطبيقات الشائعة التي يجب استهدافها.
إذا عثرت على تطابق مثبت على جهاز الضحية ، فإن الوحدة الأساسية تحاول إصابة APK المستهدف باستخدام ثغرة جانوس أو ببساطة إعادة تجميع ملف APK مع حمولة ضارة.
علاوة على ذلك ، لتثبيت APK المعدل تلقائيًا واستبدال نسخته الأصلية دون موافقة المستخدمين ، يستخدم المهاجمون سلسلة من الثغرات الأمنية ليوم واحد ، بما في ذلك هجوم man-in-disk .
علاوة على ذلك ، لتثبيت APK المعدل تلقائيًا واستبدال نسخته الأصلية دون موافقة المستخدمين ، يستخدم المهاجمون سلسلة من الثغرات الأمنية ليوم واحد ، بما في ذلك هجوم man-in-disk .
3.) وحدة التمهيد - يتم تضمين هذه الوحدة في الحمولة الخبيثة التي تم تجميعها مع التطبيق الأصلي وعملت نفس وحدة Loader. يستخرج وينفذ حمولة ضارة ، تسمى وحدة التصحيح عندما تقوم الضحية بتشغيل التطبيق المعدل.
4.) تصحيح الوحدة النمطية - تم تصميم وحدة التصحيح لمنع التطبيقات المعدلة من الحصول على تحديثات شرعية ، والتي في حالة تثبيتها ، سوف تعيد جميع التغييرات الضارة.
"على الرغم من استثمار الكثير من الموارد في تطوير هذه البرمجيات الخبيثة، والفاعل وراء وكيل سميث لا يريد التحديث الحقيقي لإزالة جميع التغييرات التي أدخلت، حتى هنا هو المكان الذي يأتي وحدة تصحيح في لمسرحية""مع غرض وحيد تعطيل التحديثات التلقائية للتطبيق المصاب ، تراقب هذه الوحدة النمطية دليل التحديث للتطبيق الأصلي وتزيل الملف بمجرد ظهوره. "
6.) وحدة AdSDK - هذه هي الحمولة الفعلية التي تعرض الإعلانات للضحايا لتحقيق مكاسب مالية وأيضًا تصيب الجهاز أيضًا بعائلات برامج الإعلانات الأخرى.
ومع ذلك ، يحذر الباحثون من أن هذه البرامج الضارة النمطية يمكن أن تتكيف بسهولة مع أغراض أكثر تدخلاً وضارة ، مثل سرقة
واجه الباحثون في البداية البرامج الضارة لبرنامج Agent Smith في أوائل عام 2019 ، والتي تم العثور عليها بشكل أساسي تستهدف أجهزة Android في الهند (مع 15 مليون جهاز مصاب) ودول آسيوية أخرى مجاورة مثل باكستان وبنغلاديش وإندونيسيا ونيبال.
ومع ذلك ، أثرت البرامج الضارة أيضًا على عدد ملحوظ من الأجهزة في الولايات المتحدة (أكثر من 300000 جهاز مصاب) وأستراليا (أكثر من 140،000 جهاز مصاب) والمملكة المتحدة (أكثر من 135000 جهاز مصاب).
إلى جانب متاجر التطبيقات التابعة لجهات خارجية ، وجد الباحثون أيضًا 11 تطبيقًا مصابًا على الأقل في متجر Google Play في الأشهر الأخيرة التي تحتوي على مكونات Agent Smith الضارة وغير النشطة.
يشير هذا بوضوح إلى أن الجهات الفاعلة التي تهدد حملة البرامج الضارة هذه تحاول أيضًا إيجاد طريقة في منصة تنزيل تطبيقات الجوال من Google لنشر برامجها الإعلانية. يقال إن Google قد أزالت جميع التطبيقات من متجرها.
نظرًا لأن Agent Smith قد أصاب معظم المستخدمين الذين قاموا بتنزيل التطبيقات من متاجر التطبيقات التابعة لجهات خارجية ، يوصى المستخدمين دائمًا بتنزيل التطبيقات من متاجر التطبيقات الموثوقة للتخفيف من خطر الإصابة. أيضًا ، قم بتنزيل التطبيقات فقط من المطورين الموثوق بهم.
يُنصح المستخدمون أيضًا بإلغاء تثبيت أي تطبيقات يشتبه أنها قد تكون ضارة من خلال الانتقال إلى قائمة الإعدادات ، والنقر فوق التطبيقات أو مدير التطبيقات ، ثم قم بالتمرير إلى التطبيق المشتبه فيه وإلغاء تثبيته.
نظرًا لأن نقطة الضعف الرئيسية Agent Smith يستغل تاريخها حتى عام 2017 وتم تصحيحها بالفعل ، يُنصح مطورو تطبيقات الأجهزة المحمولة بتنفيذ أحدث إصدار من APK Signature Scheme V2 لمنع التطبيقات الضارة من الاستفادة من ثغرة أمنية Janus في Android ضد تطبيقاتهم.