اكتشف باحثو شركة أمنية أن القراصنة يستخدمون تطبيقًا مزيفًا لنظام أندرويد يُسمّى (سيف شات) SafeChat لإصابة الأجهزة ببرامج التجسس الضارة التي تسرق سجلات المكالمات والنصوص ومواقع GPS من الهواتف.
ويُشتبه في أن برامج التجسس التي تعمل بنظام أندرويد هي أحد أنواع برنامج Coverlm الذي يسرق البيانات من تطبيقات الاتصالات، مثل: تيليجرام، وسيجنال، وواتساب، وفايبر، وفيسبوك مسنجر.
ويقول باحثو شركة CYFIRMA إن مجموعة قراصنة التهديد المتقدم والمستمر الهندية Bahamut تقف وراء الحملة، وقد نفّذوا هجماتهم الأخيرة بدرجة أساسية من خلال رسائل التصيد الاحتيالي في واتساب التي ترسل الحمولات الضارة مباشرة إلى الضحية.
ويسلط باحثو الشركة الأمنية الضوء أيضًا على العديد من أوجه التشابه في التكتيكات والتقنيات والإجراءات مع مجموعة تهديد أخرى ترعاها الدولة الهندية، وهي: DoNot APT أو APT-C-35، التي سبق أن غزت متجر (جوجل بلاي) بتطبيقات الدردشة المزيفة التي تعمل كبرامج تجسس.
وفي أواخر العام الماضي، ذكرت شركة أمن المعلومات (إسيت) ESET أن مجموعة Bahamut كانت تستخدم تطبيقات مزيفة للشبكات الافتراضية الخاصة VPN لنظام أندرويد تضمنت وظائف برامج تجسس واسعة النطاق.
موضوعات ذات صلة بما تقرأ الآن:
وفي أحدث حملة رصدتها CYFIRMA، وجدت الشركة أن مجموعة القرصنة تستهدف أفرادًا في جنوب آسيا.
ومع أن CYFIRMA لم تتعمق في تفاصيل جانب الهندسة الاجتماعية للهجوم، فمن الشائع إقناع الضحايا بتثبيت تطبيق دردشة بحجة نقل المحادثة إلى منصة أكثر أمانًا.
وأفاد المحللون أن SafeChat يتميز بواجهة خادعة تجعله يبدو وكأنه تطبيق دردشة حقيقي وهو أيضًا يأخذ الضحية من خلال عملية تسجيل مستخدم تبدو مشروعة تضيف نوعًا من المصداقية، وتعمل كغطاء ممتاز لبرامج التجسس.
ومن بين الخطوات الحاسمة في إصابة الضحايا هي الحصول على أذونات لاستخدام خدمات إمكانية الوصول، التي يُساء استخدامها لاحقًا لمنح برامج التجسس مزيدًا من الأذونات تلقائيًا.
وتتيح هذه الأذونات الإضافية لبرامج التجسس الوصول إلى قائمة جهات اتصال للضحية، والرسائل القصيرة، وسجلات المكالمات، وذواكر التخزين الخارجية، والحصول على بيانات موقع GPS الدقيقة من الجهاز المصاب.
ويطلب التطبيق أيضًا من المستخدم الموافقة على استبعاده من نظام تحسين البطارية في أندرويد، الذي ينهي العمليات في الخلفية عندما لا يتفاعل المستخدم بنشاط مع التطبيق.
وتختتم CYFIRMA التقرير بالقول إن التطبيق يحتوي على أدلة كافية لربط مجموعة Bahamut بالعمل نيابة عن حكومة ولاية معينة في الهند.