ميدار.نت - دبي

نفذ مجموعة قراصنة هجمات على الأجهزة العاملة بنظام التشغيل أندرويد، من خلال تطبيق مزيف يحمل اسم (سيف شات) SafeChat ، يتمكن من سرقة سجلات المكالمات، والرسائل النصية، ومواقع GPS من الهواتف.

وذكر شركة أمينة اسمها CYFIRMA ، "يُشتبه في أن برامج التجسس المستخدمة هي إحدى أنواع برنامج Coverlm الذي يسرق البيانات من تطبيقات الاتصالات، مثل: تيليجرام، وسيجنال، وواتساب، وفايبر، وفيسبوك مسنجر".

وتوقع باحثو شركة CYFIRMA أن مجموعة قراصنة (التهديد المتقدم والمستمر) APT الهندية Bahamut  هي من تقف وراء الحملة، ونفّذوا هجماتهم الأخيرة من خلال رسائل التصيد الاحتيالي في واتساب التي ترسل الحمولات الضارة مباشرة إلى الضحية.

واعتمد باحثو الشركة الأمنية في تحليلهم على مقارنة أوجه تشابه عديدة في التكتيكات والتقنيات والإجراءات مع مجموعة تهديد أخرى ترعاها الدولة الهندية، وهي: DoNot APT أو APT-C-35، التي سبق أن غزت متجر (جوجل بلاي) بتطبيقات الدردشة المزيفة التي تعمل كبرامج تجسس.

الإيقاع بالضحايا

لم تتعمق شركة  CYFIRMAفي ذكر تفاصيل جانب الهندسة الاجتماعية للهجوم، وكيف نجحت في إقناع الضحايا لكن من الشائع إقناعهم من خلال تثبيت تطبيق دردشة بحجة نقل المحادثات إلى منصة أكثر أمانًا.

ويتميز SafeChat بواجهة خادعة تجعله يبدو وكأنه تطبيق دردشة حقيقي، وهو أيضًا يأخذ الضحية من خلال عملية تسجيل تبدو مشروعة تضيف نوعًا من المصداقية، وتعمل كغطاء ممتاز لبرامج التجسس، بحسب ما ذكر محللون.

ومن الطرق المهمة في إصابة الضحايا الحصول على أذونات لاستخدام خدمات إمكانية الوصول، التي يُساء استخدامها لاحقًا لمنح برامج التجسس مزيدًا من الأذونات تلقائيًا.

كما تتيح هذه الأذونات الإضافية لبرامج التجسس الوصول إلى قائمة جهات اتصال للضحية، والرسائل النصية، وسجلات المكالمات، وذواكر التخزين الخارجية، والحصول على بيانات موقع GPS الدقيقة من الجهاز المصاب.

ولا يقتصر الأمر على الخطوات السابقة، بل يطلب التطبيق أيضًا من المستخدم الموافقة على استبعاده من نظام تحسين البطارية في أندرويد، الذي يُستخدم لإنهاء العمليات في الخلفية عندما لا يتفاعل المستخدم بنشاط مع التطبيق.

وتختتم CYFIRMA التقرير بالقول إن التطبيق يحتوي على أدلة كافية لربط مجموعة Bahamut بالعمل نيابة عن حكومة ولاية معينة في الهند.

قرصنة سابقة

وفي أواخر العام الماضي، ذكرت شركة أمن المعلومات (إسيت) ESET أن مجموعة Bahamut كانت تستخدم تطبيقات مزيفة للشبكات الافتراضية الخاصة VPN لنظام أندرويد تضمنت وظائف برامج التجسس الواسعة النطاق

وفي أحدث حملة رصدتها CYFIRMA، وجدت الشركة أن مجموعة القرصنة تستهدف أفرادًا في جنوب آسيا.

&nb