عصابة Transparent Tribe الرقمية تستهدف أجهزة أندرويد ببرمجية تجسس تحت تطبيقات رسمية
كشف باحثو كاسبرسكي عن نتائج توصلوا إليها حول تطبيق جديد للتجسس موجّه إلى الأجهزة المحمولة العاملة بنظام "أندرويد" توزعه عصابة Transparent Tribe الرقمية الناشطة في مجال التهديدات المتقدمة المستمرة (APT).
وتستهدف العصابة بهذا التطبيق المستخدمين في الهند تحت ستار محتوى للبالغين أو تطبيق رسمي يتعلّق بجائحة كورونا، ما يعكس تحرّك المجموعة التخريبية نحو توسعة عملياتها وإصابة الأجهزة المحمولة. ونشرت كاسبرسكي هذه النتائج وغيرها في تقرير يعرض الجزء الثاني من تحقيقاتها في الجرائم الرقمية التي ترتكبها هذه العصابة.
وتواصل العصابات الرقمية إلى الآن إساءة استغلال جائحة فيروس كورونا المستجد عبر إطلاق مزيد من التهديدات القائمة على مبادئ الهندسة الاجتماعية. وتُعدّ Transparent Tribe، التي تتعقبها كاسبرسكي منذ أكثر من أربع سنوات، إحدى أبرز تلك العصابات التي تبنّت موضوع الجائحة في حملاتها التخريبية التجسسية.
وتظهر أحدث نتائج التحقيقات التي تجريها كاسبرسكي أن المجموعة تنشط في تحسين مجموعة أدواتها وتوسعة نطاق استهدافها ليشمل الأجهزة المحمولة. وتمكنت كاسبرسكي، في تحقيق سابق، من العثور على غِرسة برمجية خبيثة جديدة تستهدف النظام "أندرويد" Android، وتستخدمها العصابة للتجسس على الأجهزة المحمولة في هجمات في الهند استغلّت الجائحة تحت ستار تطبيقٍ إباحي أو تطبيق تعقب مزيف يتعلق بالجائحة. وجرى الربط بين العصابة والتطبيقين بفضل النطاقات التي استخدمتها العصابة لاستضافة الملفات الخبيثة الخاصة بحملاتها التخريبية.
ويتألف التطبيق الأول من نسخة معدلة من مشغل فيديو مفتوح المصدر يعمل على النظام أندرويد، ويعرض عند تثبيته مقطعًا إباحيًا يشكّل إلهاءً للمستخدم عن الهدف الحقيقي الخفي من التطبيق. أما التطبيق الثاني المستخدم في استهداف الأجهزة المحمولة والمسمّى Aarogya Setu، فيشبه التطبيق الرسمي الخاص بتعقّب حالات الإصابة بفيروس كورونا المستجد، والذي طوّره المركز الوطني للمعلومات التابع لوزارة الإلكترونيات وتقنية المعلومات في الحكومة الهندية.
ويحاول كلا التطبيقين، بمجرد تنزيلهما، تثبيت حزمة ملفات أخرى خاصة بأندرويد، وتشكّل نسخة معدلة من أداة التحكّم عن بُعد AhMyth Android، البرمجية الخبيثة مفتوحة المصدر التي يمكن تنزيلها من بوابة GitHub، والتي أنشئت عن طريق تركيب حمولة خبيثة داخل تطبيقات رسمية.
ويختلف الإصدار المعدّل من البرمجية الخبيثة في وظائفه عن الإصدار الأصلي؛ إذ يتضمن مزايا جديدة أضافها المخرّبون لتحسين استخلاص البيانات، في حين فُقدت بعض المزايا الأساسية، مثل سرقة الصور من الكاميرا. ويستطيع التطبيق تنزيل تطبيقات جديدة على الهاتف والوصول إلى رسائل SMS وإلى الميكروفون وسجلات المكالمات، وبإمكانه أيضًا تتبع موقع الجهاز وحصر الملفات وتحميلها إلى الخادم المتصل به.
وأكّد جيامباولو ديدولا الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن النتائج الجديدة تكشف عن الجهود الكبيرة التي تبذلها عصابة Transparent Tribe لإضافة أدوات جديدة فعالة تخوّلهم التوسع في عملياتهم والوصول إلى ضحاياهم عبر نواقل هجوم مختلفة، باتت الآن تشمل الأجهزة المحمولة، وقال: "تعمل العصابة بجدّ وباستمرار على تحسين الأدوات التي تستخدمها، ولذا ينبغي للمستخدمين توخّي مزيد من الحذر في تقييم الموارد التي يحصلون منها على المحتوى الرقمي عبر الإنترنت والحرص على إبقاء أجهزتهم آمنة من مثل هذه التهديدات، ولا سيما إذا كانوا يتوقّعون أنهم قد يكونوا مستهدفين بهجمات متقدمة".