كشف باحثو الأمن السيبراني عن حملة واسعة النطاق تستهدف مستخدمي الهواتف الذكية على منصّتي أندرويد وiOS، من خلال تطبيقات مزيفة تُقدّم نفسها كتطبيقات مواعدة أو شبكات اجتماعية أو خدمات سحابية أو سيارات أجرة. تهدف هذه التطبيقات إلى سرقة البيانات الشخصية الحساسة من المستخدمين، وتُعرف هذه الحملة باسم SarangTrap، وفقًا لفريق Zimperium zLabs، مع التركيز بشكل خاص على المستخدمين في كوريا الجنوبية.
ووفقًا للباحث الأمني راجات غويال، فقد “شملت هذه الحملة أكثر من 250 تطبيق أندرويد خبيثًا، بالإضافة إلى أكثر من 80 نطاقًا مزيفًا، وكلها مموهة على هيئة تطبيقات مواعدة وشبكات تواصل اجتماعي شرعية.”
تعتمد هذه النطاقات على تقليد صفحات تحميل التطبيقات الرسمية لخداع المستخدمين ودفعهم إلى تحميل التطبيقات المزيفة، والتي تقوم بعد التثبيت بسرقة قوائم جهات الاتصال والصور، مع المحافظة على واجهة مستخدم توحي بالشرعية.
سلوك خبيث مموه خلف رموز الدعوة والصلاحيات
بعد التثبيت، تطلب التطبيقات المزيفة من المستخدمين إدخال “رمز دعوة” يُستخدم للتحقق من خلال خادم القيادة والتحكم (C2). وبمجرد تأكيد الرمز، تطلب التطبيقات أذونات حساسة تتيح لها الوصول إلى الرسائل النصية وقوائم الاتصال والملفات، بزعم توفير وظائف التطبيق المزعومة.
يُعد ربط السلوك الخبيث برمز الدعوة وسيلة ذكية للتهرب من التحليلات الديناميكية وبرامج مكافحة الفيروسات، ما يسمح للتطبيق بسرقة البيانات دون اكتشاف.
أما على أجهزة iOS، فتُستخدم ملفات تعريف إعدادات خبيثة لتثبيت التطبيقات المموهة، ما يتيح الوصول إلى الصور وجهات الاتصال ومكتبة الصور، باستخدام آلية تبدو طبيعية للمستخدم.
ويُعتقد أن الحملة لا تزال قيد التطوير النشط، مع ظهور نسخ جديدة تكتفي بجمع معلومات عن الجهاز والصور وجهات الاتصال. وقد رُصدت حالات ابتزاز للضحايا، حيث هدد المهاجمون بنشر مقاطع فيديو شخصية مع أفراد الأسرة.
الاحتيال العاطفي وسلاح الهندسة الاجتماعية
يقول الباحث راجات غويال: “هذه الحادثة المقلقة ليست معزولة؛ بل تكشف عن مستوى عالٍ من التلاعب النفسي وأساليب الهندسة الاجتماعية التي تستغل هشاشة المشاعر لدى الأفراد.”
فبدلاً من تلقي الرفقة الموعودة، يجد الضحايا أنفسهم عالقين في دوامة من المراقبة والابتزاز والإذلال.
حملات أخرى: تقليد تيليغرام وترويج تطبيقات مالية مزيفة
يأتي هذا الكشف بالتزامن مع حملة أخرى أنشأت أكثر من 600 نطاق صيني مزيف توزّع ملفات تطبيقات خبيثة (APKs) تتنكر في هيئة تطبيق تيليغرام، تُثبّت عبر رمز QR وتتيح تنفيذ أوامر عن بُعد لسرقة البيانات ومراقبة الأجهزة والسيطرة عليها، باستخدام واجهة MediaPlayer API.
بحسب شركة BforeAI، فإن التطبيقات الموقعة بنظام v1 تكون عرضة لثغرة Janus التي تؤثر على إصدارات أندرويد 5.0 إلى 8.0، ما يسمح بإعادة تغليف التطبيق ببرمجيات خبيثة دون فقدان التوقيع الأصلي، وبالتالي يتم تثبيته دون إثارة الشك.
استهداف جاليات بنغالية وهندية في الخليج
اعتمدت حملات أخرى على تقليد الخدمات المصرفية الهندية وتطبيقات مالية، مستهدفةً عملاء البنوك الهنود والناطقين بالبنغالية في السعودية وماليزيا والإمارات. تعمل هذه التطبيقات على خداع المستخدمين لإدخال بياناتهم في واجهات وهمية تحاكي تحويل الأموال أو دفع الفواتير، دون إجراء أي عملية حقيقية.
ويقول الباحث ديكستر شين من McAfee Labs: “رغم أن تقنيات الهجوم ليست جديدة، إلا أن استهداف فئات ثقافية محددة واستمرار الحملة يكشف كيف يطوّر المهاجمون أساليبهم للوصول إلى مجتمعات معينة.”
تستعين هذه التطبيقات بخدمات Firebase لتنفيذ أوامر القيادة والتحكم، وتستخدم صفحات تصيّد تحاكي الواجهات الحقيقية لسرقة بيانات شاملة تشمل بطاقات الخصم ومعلومات شريحة الاتصال، مع دعم لإعادة توجيه المكالمات عن بُعد.
فيتنام والتهديد المتصاعد عبر حصان طروادة RedHook
في فيتنام، تنتشر مواقع تصيّد تتنكر كمؤسسات حكومية ومالية لتوزيع حصان طروادة جديد يُدعى RedHook. يتواصل هذا البرمج الخبيث مع خوادم القيادة والتحكم عبر WebSocket، ويدعم أكثر من 30 أمرًا عن بُعد، ما يمنح المهاجمين تحكمًا كاملاً بالجهاز المصاب.
وتحتوي برمجيات RedHook على قدرات لسرقة بيانات الدخول باستخدام لوحة المفاتيح، مع دعم الوصول عن بُعد، كما تستغل خدمات إمكانية الوصول في أندرويد لتنفيذ هجمات تراكبية، وتستخدم MediaProjection API لالتقاط محتوى الشاشة.
رُصد نشاط هذه الحملة منذ نوفمبر 2024، بفضل الوصول إلى حاوية S3 على منصة AWS تحتوي على قوالب وهمية وتوثيقات لآلية عمل البرمجية.
تطبيقات مزيفة تستغل أسماء علامات تجارية لتوليد أرباح عبر شبكات الإعلانات
كُشفت أيضًا تطبيقات أندرويد مزيفة تنتحل أسماء علامات تجارية شهيرة وتستغل الهندسة الاجتماعية وقنوات التوزيع غير الرسمية لسرقة البيانات وتحويل حركة الشبكة بهدف تحقيق أرباح من الإعلانات، أو تحويل المستخدمين إلى صفحات تابعة.
تتضمن هذه التطبيقات آليات لاكتشاف البيئات المعزولة أو الافتراضية، وتتميز بتصميم وحداتي يسمح بتفعيل وظائف متقدمة حسب الحاجة. وتستغل أداة مفتوحة المصدر تُدعى ApkSignatureKillerEx للتحايل على نظام التحقق من التوقيع في أندرويد، مما يسمح بحقن حمولة خبيثة (origin.apk) داخل مجلد التطبيق مع الحفاظ على مظهره الشرعي.
أدوات الجريمة الجاهزة وتأجير الأجهزة المصابة
لم تُنسب هذه الحملة إلى جهة تهديد معروفة، إلا أن أساليبها تشير إلى صلة محتملة بمجموعات ناطقة بالصينية. وقد كشفت أبحاث جديدة من iVerify عن إمكانية إنشاء حملات خبيثة بسهولة من خلال استئجار أدوات “البرمجيات الخبيثة كخدمة” مثل PhantomOS أو Nebula مقابل اشتراك شهري.
يقول الباحث دانيال كيلي: “توفر بعض هذه الأدوات ميزات مثل اعتراض الرموز الثنائية (2FA)، تجاوز برامج الحماية، التثبيت الصامت للتطبيقات، تتبع GPS، وتراكبات تصيّد مخصصة لعلامات تجارية شهيرة.”
كما تُباع أدوات تشفير واستغلال تُخفي البرمجيات الخبيثة وتتيح انتشارها على نطاق واسع، مثل Android ADB Scanner الذي يبحث عن منافذ ADB مفتوحة ويدفع ملفات APK خبيثة إلى الأجهزة دون علم المستخدم، مقابل 600 إلى 750 دولارًا.
الأخطر من ذلك هو ظهور أسواق إلكترونية تُتيح شراء أجهزة أندرويد مُخترقة مسبقًا، مثل سوق Valhalla، حيث تُعرض أجهزة مصابة ببرمجيات مثل ERMAC وHook وHydra وOcto حسب الدولة، ما يُلغي الحاجة لتوزيع البرمجيات الخبيثة يدويًا.
توصيات وقائية
للوقاية من هذه التهديدات، يُنصح بتجنب تثبيت التطبيقات من مصادر غير موثوقة أو تتطلب أذونات غير معتادة أو رموز دعوة، مع مراجعة أذونات التطبيقات وملفات الإعدادات بشكل دوري.
