تقنية

قراصنة يستهدفون مستخدمي أندرويد بنسخة خبيثة من تيليجرام

اكتشف باحثو أمن المعلومات أن مجموعة القرصنة StrongPity APT تنشر تطبيق Shagle المزيف ، وهو في الواقع إصدار حصان طروادة يحتوي على باب خلفي من تطبيق Telegram للرسائل الفورية على Android.

يشار إلى أن (Shagle) عبارة عن منصة دردشة فيديو عشوائية تتيح للغرباء التحدث مع بعضهم البعض عبر قناة اتصال مشفرة. النظام الأساسي موجود بالكامل على الويب ، وليس له تطبيق على الأجهزة المحمولة.

اكتشف الباحثون أنه منذ عام 2021 ، استخدمت مجموعة StrongPity موقعًا مزيفًا ينتحل شخصية موقع Shagle الفعلي لخداع الضحايا لتنزيل تطبيق Android ضار.

يمكّن هذا التطبيق المتسللين ، بمجرد تثبيته ، من التجسس على الضحايا المستهدفين ، بما في ذلك: مراقبة المكالمات الهاتفية ، وجمع الرسائل النصية القصيرة ، والاستيلاء على قوائم جهات الاتصال.

تم إضافة مجموعة StrongPity ، المعروفة أيضًا باسم Promethium أو APT-C-41 ، إلى الحملات السابقة التي نشرت فيها نسخة طروادة من Notepad ++ والإصدارات الضارة من WinRAR و TrueCrypt. من أجل إصابة الأهداف ببرامج ضارة.

مواضيع ذات صلة بما تقرأه الآن:

تم اكتشاف أحدث نشاط لـ APT بواسطة باحثو ESET ، الذين نسبوا الحملة إليها استنادًا إلى أوجه التشابه بين كود التطبيق الحديث وحمولات APT السابقة.

بالإضافة إلى ذلك ، قال الباحثون إن تطبيق Android الخبيث تم توقيعه بنفس الشهادة التي استخدمتها المجموعة للتوقيع على تطبيق ينتحل شخصية تطبيق Android للحكومة الإلكترونية السورية في حملة 2021.

وأوضح الباحثون أن تطبيق Android الخبيث الذي نشرته (StrongPity) هو ملف (APK) باسم (video.apk) وهو تطبيق: (Telegram V7.5.0) ، وتم تعديله لانتحال صفة تطبيق (Shagle) لـ أجهزة محمولة. يتم نشر التطبيق الخبيث (APK) مباشرة من موقع الويب المزيف (Shagle) ، ولم يتم نشره عبر متجر تطبيقات Google Play.

تقول ESET إن الموقع الوهمي المستنسخ ظهر لأول مرة على الإنترنت في نوفمبر 2021 ، لذلك من المحتمل أن ملف APK كان قيد النشر النشط منذ ذلك الحين. ومع ذلك ، فإن أول

بالنسبة للحملة ، جاءت في يوليو 2022.

تتمثل إحدى عيوب استخدام Telegram كأساس لتطبيق مزيف ضار في أنه إذا كان هاتف الضحية مثبتًا بالفعل تطبيق Telegram الشرعي ، فلن يتم تثبيت الباب الخلفي على الجهاز.

قال الباحثون إن معرف API المستخدم في العينات الملتقطة مقيد حاليًا بسبب الإفراط في الاستخدام ، لذلك لن يقبل تطبيق Trojan بعد الآن أي تسجيل مستخدم جديد ، وبالتالي لن يعمل الباب الخلفي ، ويعتقد (ESET) أن هذا يشير إلى ومع ذلك ، تمكنت مجموعة StrongPity بالفعل من نشر البرامج الضارة على أجهزة الضحايا المستهدفين.

عند التثبيت ، تطلب البرامج الضارة الوصول إلى خدمة إمكانية الوصول ثم تقوم بجلب ملف مشفر AES من خادم الأوامر والتحكم الخاص بالمهاجم. ثم يتم استخدام الملف لأداء العديد من الوظائف الضارة ، بما في ذلك تخزين البيانات التي يتم تخزينها وتجميعها في دليل التطبيق ، والتي يتم بعد ذلك تشفيرها وإرسالها مرة أخرى إلى خادم المهاجم.

من خلال إساءة استخدام خدمة إمكانية الوصول ، يمكن للبرامج الضارة قراءة محتوى الإشعارات من تطبيقات مثل: Messenger و Viber و Skype و WeChat و Snapchat و Instagram و Twitter و Gmail ، بالإضافة إلى تطبيقات أخرى.

على الأجهزة التي تم تعديلها للوصول إلى المسؤول ، تمنح البرامج الضارة نفسها تلقائيًا إذنًا لإجراء تغييرات على إعدادات الأمان ، والكتابة إلى أنظمة الملفات ، وإجراء عمليات إعادة التشغيل ، وأداء وظائف خطيرة أخرى.

تنشط مجموعة القرصنة (StrongPity) منذ عام 2012 وعادةً ما تستخدم الأبواب الخلفية على مثبتات البرامج الشرعية. واستنادًا إلى تقرير ESET ، تستخدم المجموعة نفس التكتيك منذ عشر سنوات حتى الآن.

يجب على مستخدمي Android توخي الحذر عند تنزيل ملفات APK من خارج متجر Google Play ، والاهتمام بطلبات الأذونات أثناء تثبيت التطبيقات الجديدة.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى