كشف باحثون أمنيون عن ظهور برمجية خبيثة جديدة لنظام أندرويد تحمل اسم “GhostSpy” تتمتع بقدرات تجسسية خطيرة وغير مسبوقة. هذه البرمجية التي يُعتقد أن مطوريها من البرازيل، تمثل تهديدًا كبيرًا لخصوصية المستخدمين وأمنهم الرقمي.
القدرات التخريبية لـ GhostSpy
تمتلك هذه البرمجية الخبيثة مجموعة مقلقة من الميزات التخريبية:
قدرات المراقبة والتجسس:
-
تسجيل ضربات لوحة المفاتيح (Keylogging)
-
التقاط لقطات شاشة خفية
-
تسجيل الصوت والفيديو من الخلفية
-
سرقة سجلات المكالمات والرسائل النصية
-
تتبع الموقع الجغرافي عبر GPS
قدرات تنفيذية متقدمة:
-
تنفيذ أوامر عن بُعد
-
تجاوز حماية التطبيقات المصرفية
-
مقاومة عالية للإزالة
آلية عمل البرمجية الخبيثة
تبدأ عملية الإصابة عبر تطبيق مخادع (dropper) يستغل:
-
خدمات إمكانية الوصول: للحصول على صلاحيات إدارية
-
أتمتة واجهة المستخدم: لتحميل وتثبيت حمولة ثانوية
تقنيات التخفي والمقاومة:
-
إساءة استخدام واجهات برمجة التطبيقات الإدارية (Device Admin APIs)
-
تكتيكات مضادة للإزالة تشمل:
-
اختطاف نوافذ النظام
-
حجب الشاشة بالكامل
-
-
إعادة بناء واجهة التطبيقات المحمية (skeleton view reconstruction)
الأدلة على المصدر البرازيلي
تشير التحقيقات إلى أن مصدر هذه البرمجية يعود إلى قراصنة برازيليين بناءً على:
-
قنوات التليجرام المرتبطة بالبرمجية
-
القنوات اليوتيوبية التي أنشأها المطورون
-
أنماط التشفير المستخدمة
-
اللغات المستخدمة في أكواد البرمجية
