مركز الأمن السيبراني للأبحاث والدراسات CCRS https://ccforrs.com Thu, 24 Apr 2025 03:32:59 +0000 ar hourly 1 https://wordpress.org/?v=6.6.2 مركز الأمن السيبراني للأبحاث والدراسات CCRS false برمجية تجسس تتخفى في تطبيق خرائط شهير لاختراق أجهزة الجيش الروسي https://ccforrs.com/%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-%d8%aa%d8%ac%d8%b3%d8%b3-%d8%aa%d8%aa%d8%ae%d9%81%d9%89-%d9%81%d9%8a-%d8%aa%d8%b7%d8%a8%d9%8a%d9%82-%d8%ae%d8%b1%d8%a7%d8%a6%d8%b7-%d8%b4%d9%87%d9%8a%d8%b1-%d9%84/ https://ccforrs.com/%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-%d8%aa%d8%ac%d8%b3%d8%b3-%d8%aa%d8%aa%d8%ae%d9%81%d9%89-%d9%81%d9%8a-%d8%aa%d8%b7%d8%a8%d9%8a%d9%82-%d8%ae%d8%b1%d8%a7%d8%a6%d8%b7-%d8%b4%d9%87%d9%8a%d8%b1-%d9%84/#respond Sat, 26 Apr 2025 06:15:17 +0000 https://ccforrs.com/?p=11969 كشف باحثون في مجال الأمن السيبراني عن حملة خبيثة جديدة تستهدف أفرادًا من الجيش الروسي، من خلال توزيع برمجية تجسس على نظام أندرويد متنكرة في هيئة تطبيق الخرائط الشهير Alpine Quest.

ووفقًا لتحليل أجرته شركة Doctor Web الروسية المتخصصة في الأمن السيبراني، فإن المهاجمين قاموا بإخفاء البرمجية الخبيثة داخل إصدار معدل من تطبيق Alpine Quest، ووزعوها بطرق متعددة، من بينها أحد كتالوجات تطبيقات أندرويد الروسية.

برمجية تجسس متخفية داخل إصدارات قديمة من Alpine Quest

تم العثور على حصان طروادة (Trojan) ضمن إصدارات قديمة من البرنامج، حيث يُروّج له كنسخة مجانية من تطبيق Alpine Quest Pro، الذي يتميز بوظائف متقدمة.

وقالت الشركة إن البرنامج الضار، الذي أُطلق عليه اسم Android.Spy.1292.origin، يُوزع أيضًا بصيغة ملف APK من خلال قناة مزيفة على تطبيق تيليغرام.

في البداية، كان المهاجمون يشاركون رابطًا لتنزيل التطبيق من أحد كتالوجات التطبيقات الروسية عبر القناة، لكن لاحقًا بدأوا بتوزيع النسخة الخبيثة مباشرة كملف APK يتم تحميله كتحديث للتطبيق.

استغلال استخدام الجيش الروسي لتطبيق Alpine Quest

ما يجعل هذه الحملة مثيرة للقلق هو استغلالها لحقيقة أن تطبيق Alpine Quest يُستخدم من قبل أفراد الجيش الروسي في مناطق العملية العسكرية الخاصة.

وبمجرد تثبيت التطبيق على الجهاز، يبدو ويعمل تمامًا كالتطبيق الأصلي، ما يسمح له بالبقاء غير مكشوف لفترات طويلة، بينما يقوم بجمع معلومات حساسة تشمل:

  • رقم هاتف المستخدم وحساباته

  • قائمة جهات الاتصال

  • التاريخ الحالي والموقع الجغرافي

  • معلومات عن الملفات المخزنة

  • إصدار التطبيق

اتصال مباشر مع بوت تيليغرام وسرقة بيانات من واتساب

لا يكتفي التطبيق بإرسال موقع الضحية الجغرافي إلى بوت تيليغرام عند تغيّره، بل يدعم أيضًا تحميل وتشغيل وحدات إضافية (Modules) تتيح له سرقة الملفات الحساسة، خصوصًا تلك المرسلة عبر تطبيقي تيليغرام وواتساب.

وقالت شركة Doctor Web:

“البرمجية Android.Spy.1292.origin لا تكتفي بتتبع موقع المستخدم، بل تتيح أيضًا سرقة الملفات السرية. كما يمكن توسيع قدراتها الخبيثة عن طريق تحميل وحدات جديدة تؤهلها لتنفيذ مجموعة أوسع من المهام.”

توصيات للوقاية من برمجيات التجسس على أندرويد

لتقليل خطر الإصابة بمثل هذه التهديدات، يُنصح بتنزيل تطبيقات أندرويد فقط من المتاجر الموثوقة مثل Google Play، وتجنب تحميل النسخ المدفوعة مجانًا من مصادر غير معروفة أو مشبوهة.

جهات روسية تتعرض لهجوم جديد عبر باب خلفي في ويندوز

تأتي هذه الاكتشافات بالتزامن مع إعلان شركة Kaspersky عن حملة تهديد متقدمة استهدفت مؤسسات روسية كبرى في قطاعات حكومية ومالية وصناعية، باستخدام باب خلفي متنكر على هيئة تحديث لبرنامج الشبكات الآمنة ViPNet.

وقالت الشركة في تقرير أولي:

“الباب الخلفي يستهدف الحواسيب المتصلة بشبكات ViPNet، وقد تم توزيعه داخل أرشيفات من نوع LZH تحاكي البنية المعتادة لتحديثات هذا البرنامج.”

يحتوي الأرشيف على ملف تنفيذي ضار باسم msinfo32.exe يعمل كـ”محمل” للحمولة المشفرة (Payload) المضمنة في نفس الملف.

وأضافت Kaspersky:

“يقوم المحمل بمعالجة محتويات الملف لتحميل الباب الخلفي في الذاكرة. ويتميز هذا الباب الخلفي بالقدرة على الاتصال بخادم تحكم (C2) عبر بروتوكول TCP، مما يتيح للمهاجم سرقة الملفات وتشغيل مكونات ضارة إضافية على الجهاز المُصاب.”

]]> https://ccforrs.com/%d8%a8%d8%b1%d9%85%d8%ac%d9%8a%d8%a9-%d8%aa%d8%ac%d8%b3%d8%b3-%d8%aa%d8%aa%d8%ae%d9%81%d9%89-%d9%81%d9%8a-%d8%aa%d8%b7%d8%a8%d9%8a%d9%82-%d8%ae%d8%b1%d8%a7%d8%a6%d8%b7-%d8%b4%d9%87%d9%8a%d8%b1-%d9%84/feed/ 0