الرئيسية / حماية / حملة تجسس تستهدف اجهزة الاشخاص في الشرق الاوسط احذف هذا تطبيق فورا اذا ثبته!

حملة تجسس تستهدف اجهزة الاشخاص في الشرق الاوسط احذف هذا تطبيق فورا اذا ثبته!

اكتشفنا عملية جديدة ضمن حملة تجسس إلكترونية طويلة الأمد في الشرق الأوسط. من خلال استهداف مستخدمي Android عبر تطبيق “دردشة الترحيب” الضار ، يبدو أن العملية تحتوي على روابط إلى البرامج الضارة المسماة BadPatch ، والتي تربطها MITER بمجموعة الجهات الفاعلة في مجال التهديد في قراصنة غزة المعروفة أيضًا باسم Molerats.

يظهر تحليلنا أن تطبيق Welcome Chat يسمح بالتجسس على ضحاياه. ومع ذلك ، فهو ليس برنامج تجسس بسيط. Welcome Chat هو تطبيق دردشة فعال يوفر الوظائف الموعودة إلى جانب سعة التجسس الخفية.

وجدنا أن برامج التجسس هذه يتم الإعلان عنها للمستخدمين المتعطشين للدردشة (هذه التطبيقات محظورة في بعض البلدان في منطقة الشرق الأوسط) على موقع ويب مخصص (انظر الشكل 1). حقيقة أن الموقع باللغة العربية يتوافق مع استهداف الحملة بأكملها نعتقد أن هذه العملية تنتمي إليها. تم تسجيل النطاق في أكتوبر 2019 ؛ لم نتمكن من تحديد موعد إطلاق الموقع.

الشكل 1: الموقع الإلكتروني لتطبيق دردشة الترحيب الخبيث

يروّج موقع الويب الضار لتطبيق Welcome Chat ، مدّعيًا أنه منصة دردشة آمنة ومتوفرة في متجر Google Play. كلتا الادعاءات كاذبة. فيما يتعلق بالادعاء “الآمن” ، ليس هناك شيء أبعد عن الحقيقة. ليست أداة “دردشة الترحيب” أداة تجسس فقط ؛ علاوة على ذلك ، ترك مشغلوها البيانات التي تم جمعها من ضحاياهم متاحة مجانًا على الإنترنت. ولم يكن التطبيق متاحًا أبدًا في متجر تطبيقات Android الرسمي.

الشكل 2. على الرغم من التسمية التوضيحية التي تنص على “جودة عالية وآمنة ومتوفرة على Google Play” ، فإن الزر يؤدي إلى تنزيل ملف التثبيت مباشرة من موقع الويب الضار

الوظيفة / التحليل
بمجرد أن يقوم المستخدم بتنزيل التطبيق ، فإنه يحتاج إلى تفعيل الإعداد “السماح بتثبيت التطبيقات من مصادر غير معروفة” حيث لم يتم تنزيل التطبيق من متجر Play.

بعد التثبيت ، سيطلب التطبيق الضار من الضحية السماح بأذونات مثل إرسال رسائل SMS وعرضها ، والوصول إلى الملفات ، وتسجيل الصوت ، والوصول إلى جهات الاتصال وموقع الجهاز. قد تجعل مثل هذه القائمة الواسعة من الأذونات المتداخلة الضحايا في العادة مشبوهة – ولكن مع تطبيق المراسلة ، من الطبيعي أن يحتاجوا إلى التطبيق لتقديم الوظيفة الموعودة.

الشكل 3. طلبات الإذن والصلاحيات من قبل برنامج الشات!

من أجل أن تكون قادرًا على التواصل مع المستخدمين الآخرين لهذا التطبيق ، يحتاج المستخدم إلى التسجيل وإنشاء حساب شخصي (انظر الشكل 4).

الشكل 4. مربع حوار التسجيل / تسجيل الدخول لتطبيق دردشة

فور تلقي هذه الأذونات ، يرسل موقع Welcome Chat معلومات حول الجهاز إلى C&C وهو جاهز لتلقي الأوامر. وهي مصممة للاتصال بخادم C&C كل خمس دقائق.

بالإضافة إلى وظائف التجسس الأساسية الخاصة به – مراقبة اتصالات الدردشة لمستخدميه – يمكن لتطبيق Welcome Chat تنفيذ الإجراءات الخبيثة التالية: طرد الرسائل النصية القصيرة المرسلة والمستلمة ، وسجل سجل المكالمات ، وقائمة جهات الاتصال ، وصور المستخدم ، والمكالمات الهاتفية المسجلة ، ونظام تحديد المواقع العالمي (GPS) موقع الجهاز ومعلومات الجهاز.

تطبيق محادثة طروادة أو طورته المهاجم؟
ينشأ سؤال مثير للاهتمام مع تطبيقات طروادة الوظيفية: هل التطبيق عبارة عن إصدار مهاجم من Trojanized من تطبيق نظيف ، أم أن المهاجمين طوروا تطبيقًا ضارًا من البداية؟

في كلتا الحالتين ، من السهل على المهاجمين التجسس على الرسائل المتبادلة داخل التطبيق كما لو كان لديهم – بطبيعة الحال – مفاتيح التفويض لقاعدة بيانات المستخدم.

على الرغم من كون الخيار الأول نموذجيًا لتطبيقات Trojanized ، نعتقد أنه في هذه الحالة بالذات ، فإن التفسير الثاني أكثر احتمالًا.

عادةً ، يتم إنشاء تطبيقات Trojanized عبر عملية إلحاق الوظائف الضارة بتطبيق شرعي. يجد الأشرار تنزيل تطبيق مناسب وتنزيله. بعد فكها ، يضيفون الوظائف الخبيثة ويعيدون ترجمة التطبيق الخبيث الذي لا يزال يعمل حتى الآن لنشره بين جمهورهم المطلوب.

توجد علامة استفهام رئيسية مع هذا الخيار: حتى يومنا هذا ، لم نتمكن من اكتشاف أي نسخة نظيفة من تطبيق Welcome Chat. لا يمكن العثور عليه فقط في أي من أسواق Android الموجودة لدينا على الرادار الخاص بنا ؛ استنادًا إلى خوارزميات المطابقة الثنائية في أنظمة تصنيف العينات لدينا ، لم نعثر على أي تطبيق نظيف بنفس وظيفة الدردشة هذه. من المثير للاهتمام في هذا الصدد أنه تم تحميل نسخة نظيفة من Welcome Chat ، بدون وظيفة التجسس ، إلى VirusTotal في منتصف فبراير 2020 (التجزئة: 757bd41d5fa99e19200cee59a3fd1577741ccd82). تم إرسال النسخة الخبيثة لأول مرة إلى VirusTotal قبل أسبوع.

هذا يقودنا إلى الاعتقاد بأن المهاجمين طوروا تطبيق الدردشة الخبيث بأنفسهم. إنشاء تطبيق دردشة لنظام Android ليس بالأمر الصعب ؛ هناك العديد من الدروس التفصيلية على الإنترنت. باستخدام هذا النهج ، يتمتع المهاجمون بتحكم أفضل في توافق الوظائف الضارة للتطبيق مع وظائفه الشرعية ، حتى يتمكنوا من التأكد من أن تطبيق الدردشة سيعمل.

الشكل 5. استخدم المطور أجزاء مختلفة من التعليمات البرمجية مفتوحة المصدر لإنشاء التطبيق الضار

في بعض الحالات ، يكون رمز المصدر المفتوح المنسوخ قديمًا جدًا – انظر الجدول 1. كشرح محتمل ، تأتي جميع الأمثلة المدرجة في أعلى القائمة بين نتائج googling البسيطة للوظائف ذات الصلة.

الجدول 1. أصول الكود الخبيث

العمر (سنوات)مصدرالوظيفة الخاصة بالكود
8
مصدر الكود, GitHub
تسجيل المكالمات
6مصدر الكود, GitHubسرقة الرسائل
5مصدر الكود, Blogspot إحداثيات خرائط جوجل
8مصدر الكود, GitHubتتبع الاحداثيات
5مصدر الكود, GitHub
تتبع الاحداثيات ايضا

تسرب بيانات المستخدم
لم يتم إنشاء تطبيق Welcome Chat ، بما في ذلك بنيته التحتية ، مع وضع الأمان في الاعتبار. يحمّل التطبيق جميع بيانات المستخدم المسروقة إلى الخادم الذي يتحكم فيه المهاجم عبر HTTP غير الآمن.

البيانات المرسلة غير مشفرة وبسبب ذلك ، فهي ليست متاحة فقط للمهاجم ، بل يمكن الوصول إليها مجانًا لأي شخص على نفس الشبكة.

تحتوي قاعدة البيانات على بيانات مثل الاسم والبريد الإلكتروني ورقم الهاتف ورمز الجهاز وصورة الملف الشخصي والرسائل وقائمة الأصدقاء – في الواقع ، يمكن العثور على جميع بيانات المستخدمين باستثناء كلمات مرور الحساب على الخادم غير الآمن.

الشكل 6. يحمّل جهاز الضحية بيانات المستخدم إلى خادم التطبيق
الشكل 7. تسرب قاعدة بيانات المستخدم
الشكل 8. معلومات المستخدم المتسربة
الشكل 9. مثال على الوصول إلى رسالة داخل التطبيق بحرية على خادم التطبيق غير الآمن

بمجرد أن اكتشفنا أن المعلومات الحساسة متاحة للجمهور ، كثفنا جهودنا لاكتشاف مطور تطبيق الدردشة المشروعة (أي التطبيق الذي كانت أداة التجسس – في النهاية – إصدار طروادة من) للكشف عن مدى تعرضهم لها. لم نجد المطور ولا التطبيق ، مما أقنعنا بأن التطبيق مبني منذ البداية على أنه ضار. بطبيعة الحال ، لم نبذل أي جهد للوصول إلى الجهات الخبيثة وراء التطبيق.

اتصال BadPatch ممكن
ينتمي تطبيق Welcome Chat espionage إلى نفس عائلة برامج Android الضارة التي حددناها في بداية عام 2018. وقد استخدمت تلك البرامج الضارة خادم C&C نفسه ، pal4u.net ، كحملة تجسس تستهدف الشرق الأوسط تم تحديدها في أواخر عام 2017 بواسطة Palo ألتو نتوركس واسمها باد باتش. في أواخر عام 2019 ، وصف Fortinet عملية تجسس أخرى تركز على الأهداف الفلسطينية مع المجال pal4u.net من بين مؤشرات التوافق.

لهذه الأسباب ، نعتقد أن هذه الحملة مع أحصنة طروادة Android الجديدة تأتي من الجهات الفاعلة التي تهدد حملة BadPatch طويلة المدى.

توصية
في حين يبدو أن عملية التجسس المستندة إلى دردشة ترحيب مستهدفة بشكل ضيق ، فإننا نوصي بشدة ألا يقوم المستخدمون بتثبيت أي تطبيقات من خارج متجر Google Play الرسمي – ما لم يكن مصدرًا موثوقًا مثل موقع ويب لمورد أمان معروف أو بعض المواقع ذات السمعة الطيبة مؤسسة مالية. علاوة على ذلك ، يجب على المستخدمين الانتباه إلى الأذونات التي تتطلبها تطبيقاتهم والشك في أي تطبيقات تتطلب أذونات تتجاوز وظائفهم – وكتدبير أمان أساسي جدًا ، قم بتشغيل تطبيق أمان موثوق به على أجهزتهم المحمولة.

مؤشرات التسوية (IoCs)

اسم كشف ESETالهاش
Android/Spy.Agent.ALYC60D7134B05B34AF08023155EAB3B38CEDE4BCCD
Android/Spy.Agent.ALYC755D37D6692C650692F4C637AE83EF6BB9577FC
Android/Spy.Agent.ALY89AB73D4AAF41CBCDBD0C8C7D6D85D21D93ED199
Android/Spy.Agent.ALY2905F2F60D57FBF13D25828EF635CA1CCE81E757
C&C: emobileservices.club

MITRE ATT&CK techniques

DescriptionNameIDTactic
ينتحل تطبيق دردشة شرعي.حفلة تنكرية كتطبيق شرعيT1444الوصول الأولي
يستمع للبث BOOT_COMPLETED ، مما يضمن تنشيط وظائف التطبيق في كل مرة يتم فيها تشغيل الجهاز.البدء التلقائي للتطبيق عند تمهيد الجهازT1402إصرار
يجمع معلومات حول الجهاز.اكتشاف معلومات النظامT1426اكتشاف
يرسل ويستقبل رسائل SMS.التقاط رسائل SMST1412
التجسس على موقع الجهازتتبع الموقعT1430
ترسل محفوظات سجل المكالمات.الوصول إلى سجل المكالماتT1433
يرسل قائمة جهات اتصال المستخدم.قائمة جهات اتصال الوصولT1432البيانات المجموعة
يسجل الصوت المحيط.التقاط الصوتT1429
يسرق صور المستخدم المخزنة على الجهاز.البيانات من النظام المحليT1533
يقوم بتحميل البيانات المتسلسلة باستخدام بروتوكول HTTP.بروتوكول طبقة التطبيق القياسيT1437الاوامر والتحكم

الكاتب: Lukas Stefanko
المصدر/Source

تقييم المستخدمون: كن أول المصوتون !

عن Anas AounAlsoud

مدون وناشط بمجال حقوق الانسان والامن المعلوماتي مهتم بالتقنية وكل مايدور حولها وتقنيات الحماية وهدفه ايصال المعلومة للقارئ بشكل صحيح وتقديم المحتوى المرئي على يوتيوب

مقالات أخرى قد تهمك؟

اختراقات شاملة لحسابات مشاهير في تويتر والهاكرز يسرقون مبلغ 138 الف دولار في 30 دقيقة فقط!

نعم يا اصدقاء ماحصل في 16.07.2020 ربما لن ولم تنساه شركة تويتر! وموظفيها!حيث انه في …

ضع تعليقك هنا

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.