اكتشفت شركة الأمن السيبراني براديو Pradeo هذا الأسبوع برنامجي تجسس على متجر قوقل بلاي Google Play مع قرابة 1.5 مليون مستخدم متأثرين بالتطبيقين.
كلا التطبيقين من نفس المطور، وهما يمثلان تطبيقات إدارة الملفات ويتميزان بسلوكيات ضارة مماثلة. تمت برمجتها للتشغيل دون تفاعل المستخدمين، ولإخراج بياناتهم الحساسة بصمت نحو الخوادم الخبيثة المختلفة الموجودة في الصين. وقد تم إبلاغ قوقل بالاكتشاف قبل نشر هذا التنبيه.
ما هي برامج التجسس هذه؟
برنامج استعادة الملفات واستعادة البيانات File Recovery & Data Recovery
com.spot.music.filedate 1M + عمليات التثبيت 1 مليون
برنامج مدير الملفات File Manager
-com.file.box.master.gkd-500 ألف + عمليات التثبيت
البيانات المخترقة:
في متجر قوقل بلاي Google Play، تعلن كل من ملفات تعريف التطبيقات المذكورة أعلاه أنها لا تجمع أي بيانات من أجهزة المستخدمين، والتي وجد الفريق البحثي في براديو أنها معلومات خاطئة. علاوة على ذلك، أعلنوا أنه إذا تم جمع البيانات، فلن يتمكن المستخدمون من طلب حذفها، وهو ما يتعارض مع معظم قوانين حماية البيانات مثل القانون العام لحماية البيانات (GDPR).
تظهر التقارير من محرك التحليل السلوكي لدى براديو أن كلا برنامجي التجسس يجمعان بيانات شخصية جدًا من أهدافهما، لإرسالها إلى عدد كبير من الوجهات التي تقع في الغالب في الصين والتي تم تحديدها على أنها ضارة. تشمل البيانات المسروقة ما يلي:
- قوائم جهات اتصال المستخدمين من الجهاز نفسه ومن جميع الحسابات المتصلة مثل البريد الإلكتروني والشبكات الاجتماعية
- الوسائط المترجمة في التطبيق: الصور ومحتويات الصوت والفيديو
- موقع المستخدم في الوقت الفعلي
- رمز الدولة للجوال
- اسم مزود الشبكة
- رمز الشبكة لمزود بطاقة SIM
- رقم إصدار نظام التشغيل، والذي يمكن أن يؤدي إلى اختراق النظام كما فعل برنامج التجسس بيغاسوس Pegasus
- العلامة التجارية للجهاز وطرازه
- على وجه التحديد، يقوم كل تطبيق بأكثر من مائة عملية إرسال للبيانات المجمعة، وهو مقدار كبير جدًا لدرجة أنه نادرًا ما يتم ملاحظته.
السلوكيات المخادعة التي يستخدمها المخترق لزيادة نجاحه
المظهر الشرعي:
عند التنقل في متاجر التطبيقات، يقول الفريق البحثي إنه يميل إلى الاعتقاد بأن التطبيقات التي تم تثبيتها إلى حد كبير جديرة بالثقة وذات أداء. في هذه الحالة، يُظهر كلا برنامجي التجسس عددًا كبيرًا من المستخدمين ، ولكن ليس لديهم مراجعات. ويعتقد الفريق البحثي أن المتسلل استخدم مزرعة تثبيت أو محاكيات للأجهزة المحمولة لتزييف هذه الأرقام، وبالتالي جعل تطبيقاته أفضل مرتبة في قوائم فئات المتاجر وزيادة شرعيتها الظاهرة.
- يتطلب تفاعلًا أقل من المستخدم:
في كثير من الأحيان، يقوم المستخدمون بتثبيت التطبيقات التي ينتهي بهم الأمر حتى باستخدامها. بالنسبة لمعظم البرامج الضارة، هذا يعني أن الهجوم غير ناجح. للتغلب على هذه العقبة، يمكن لـ File Manager و File Recovery & Data Recovery، من خلال الأذونات المتقدمة التي يستخدمونها، تحفيز إعادة تشغيل الجهاز. يسمح هذا بعد ذلك للتطبيقات بتشغيل وتنفيذ نفسها تلقائيًا عند إعادة التشغيل.
- منع إلغاء التثبيت: من الشائع الاعتقاد أنه على جهاز محمول ، تكون جميع التطبيقات مرئية على الشاشة الرئيسية. على الرغم من أن هذا ليس هو الحال ويمكن للتطبيق ببساطة إخفاء الرمز الخاص به من العرض العام. يستخدم كل من هذه البرامج الضارة هذه التقنية لجعل عملية إلغاء التثبيت أكثر صعوبة. لحذفها، يحتاج المستخدمون إلى الانتقال إلى قائمة التطبيقات في الإعدادات.
التوصيات الأمنية
أولاً، تنصح براديو أي شخص يستخدم هذه التطبيقات بحذفها.
كـ فرد:
- لا تقم بتنزيل التطبيقات التي ليس لها أي مراجعات بينما يوجد آلاف المستخدمين ممن قاموا بتنزيلها.
- قراءة المراجعات عندما يكون هناك أي منها، فهي عادة ما تعكس طبيعة التطبيقات الحقيقية.
- اقرأ الأذونات بعناية قبل قبولها دائمًا.
كـ منظمة:
- توعية المتعاونين بشأن تهديدات الأجهزة المحمولة.
- قم بأتمتة اكتشاف الهاتف المحمول والاستجابة له لتوفير مرونة آمنة للمستخدمين، من خلال فحص التطبيقات ومنع تشغيلها عندما لا تكون متوافقة مع سياسة الأمان الخاصة بك.