بريمجات التجسس تصل الى الهواتف بكل سهولة
كشف باحثون في الأمن السيبراني عن قطعة جديدة من البرمجيات الخبيثة للمراقبة عبر الهاتف المحمول يُعتقد أنها طورت من قبل مقاول دفاع روسي تمت معاقبته على التدخل في الانتخابات الرئاسية الأمريكية لعام 2016.
يُطلق عليه حصان طروادة ، الذي سمي على اسم Monokle ، بحيث يستهدف هواتف Android بشكل بشكل فعال ومستمر منذ مارس 2016 على أقل تقدير ، ويستخدم بشكل أساسي في هجمات عالية الاستهداف على عدد محدود من الأشخاص.
وفقًا للباحثين في مجال الأمن في Lookout ، تمتلك Monokle مجموعة واسعة من وظائف التجسس وتستخدم تقنيات متقدمة لإخراج البيانات ، حتى دون الحاجة لإمتلاك صلاحيات الوصول من خلال الجذر (ROOT) لجهاز المستهدف.
في ما تتجلى خطورة هذه البرامج الضارة؟
على وجه الخصوص ، تصل هذه البرامج الضارة إلى Android لغرض تصفيت البيانات لعدد كبير من تطبيقات الشخصية، بما في ذلك محرّر مستندات Google و Facebook messenger و Whatsapp و WeChat و Snapchat ، من خلال قراءة النص المعروض على شاشة الجهاز في أي وقت. تستخرج البرامج الضارة أيضًا قواميس النص التنبؤي المعرفة من قبل المستخدم "للتعرف على الموضوعات التي تهم أحد الأهداف" ، كما تحاول تسجيل شاشة الهاتف أثناء حدث لإلغاء قفل الشاشة من أجل اختراق رمز PIN أو النمط أو كلمة المرور الخاصة بالهاتف.أما في حالة توفر صلاحيات الروت أو الجذر يمكن ان يصبح الأمر أكثر خطورة بحيث يثم تثبيت شهادات المرجع المصدق (CA) التي يحددها المهاجم في قائمة الشهادات الموثوق بها على جهاز المخترق، مما قد يمكّن المهاجمين من اعتراض حركة مرور شبكة الاتصال المحمية الآمنة المشفرة بسهولة بالغة من خلال برنامج Man-in-the- الهجمات المتوسطة (MiTM).
- وظائف أخرى من Monokle تشمل:
- تتبع موقع الجهاز
- تسجيل الصوت والمكالمات
- جعل تسجيلات الشاشة
- كلوغر وبصمات الأصابع الجهاز
- استرداد التصفح وتاريخ الدعوة
- التقاط الصور ومقاطع الفيديو واللقطات
- استرداد رسائل البريد الإلكتروني والرسائل القصيرة والرسائل
- سرقة جهات الاتصال ومعلومات التقويم
- إجراء المكالمات وإرسال الرسائل النصية نيابة عن الضحايا
برامج التجسس تتنكر في ازياء مثل PornHub وتطبيقات Google Android
تتضمن معظم هذه التطبيقات وظائف مشروعة ، مما يمنع المستخدمين المستهدفين من الشك في أن التطبيقات ضارة.
علاوة على ذلك ، فإن بعض العينات الحديثة من Monokle تأتي مرفقة بوحدات Xposed التي تسمح للبرامج الضارة بتخصيص بعض ميزات النظام ، مما يوسع قدرتها في نهاية المطاف على إخفاء كل تحركات هذه البرامج الخبيثة من قائمة المهام.
تستخدم حزمة البرمجيات الخبيثة ملف DEX في مجلد الوصول الخاص بها والذي "يشتمل على جميع وظائف التشفير المطبقة في مكتبة المصدر المفتوح" spongycastle "، وبروتوكولات البريد الإلكتروني المختلفة ، واستخراج جميع البيانات وتسلسلها ، وتسلسل البيانات وإلغاء تسلسلها باستخدام بروتوكول Thrift ، و rooting.
*تذكرنا البرامج الضارة الجديدة التي تعمل بنظام Android وقدراتها ببرنامج Pegasus الخبيث للمراقبة القوية ، الذي طورته مجموعة NSO ومقرها إسرائيل لكل من أجهزة Apple iOS و Google Android.
*ومع ذلك ، بخلاف برامج التجسس الروسية Monokle ، يأتي Pegasus مع عمليات استغلال قوية في يومه الصفر يقوم بتثبيت برامج التجسس على جهاز مستهدف دون تفاعل يذكر مع المستخدم.
*تم استخدام شركة Pegasus سابقًا لاستهداف نشطاء حقوق الإنسان والصحفيين ، من المكسيك إلى الإمارات العربية المتحدة ، ومرة أخرى العام الماضي ضد أحد موظفي منظمة العفو الدولية في المملكة العربية السعودية .
روسية "الدفاع المقاول STC" يطور البرامج الضارة Monokle
تم تطوير Monokle بواسطة شركة مقرها في روسيا ، تسمى Special Technology Center Ltd. (STC) - وهو مقاول دفاعي خاص معروف بإنتاج معدات الطائرات بدون طيار وترددات الراديو (RF) للجيش الروسي بالإضافة إلى عملاء حكوميين آخرين.وفقًا للباحثين في Lookout ، يتم توقيع مجموعة أمان Monokle ومجموعة Android الخاصة بـ STC والتي تسمى Defender رقميًا مع شهادات التشفير نفسها ، كما تشترك في نفس بنية القيادة والتحكم.
"البنية التحتية للقيادة والتحكم التي تتصل بتطبيق Defender تتصل أيضًا بنماذج Monokle. تتداخل شهادات التوقيع المستخدمة لتوقيع حزم تطبيقات Android بين Defender و Monokle أيضًا" ، وفقًا للتقرير.
"لوحظ تداخل إضافي من قِبل الباحثين في Lookout بين Monokle وبرنامج الأمان الدفاعي الذي أنتجته شركة الاتصالات السعودية في خيارات تطوير وتنفيذ المؤلفين."
Monokle لنظام التشغيل iOS قيد التطوير
إلى جانب Android ، توصل الباحثون أيضًا إلى بعض عينات البرامج الضارة Monokle ، والتي كشف تحليلها وجود إصدارات iOS من Monokle التي تستهدف أجهزة Apple ، على الرغم من أن الباحثين لم يجدوا أي دليل على أي إصابة نشطة لأنظمة iOS حتى الآن.يبدو أن بعض الأوامر في نماذج البرامج الضارة لا تخدم أي غرض كجزء من عميل Android ومن المحتمل أن تتم إضافتها دون قصد ، مما يشير إلى أن إصدارات iOS من Monokle قد تكون قيد التطوير.
وفقًا للباحثين في Lookout ، يتم استخدام Monokle في هجمات عالية الاستهداف على عدد محدود من الأشخاص في مناطق أوروبا الشرقية وكذلك الأفراد المهتمين بالإسلام وجماعة أحرار الشام المتشددة في سوريا والأفراد في دولة آسيا الوسطى. وجمهورية أوزبكستان السوفيتية السابقة.
التعليقات:
: