يحذر باحثو الأمن السيبراني من حملة برمجيات خبيثة تعمل بنظام أندرويد نشيطة منذ عام 2016. تم اكتشاف هذه الحملة التي أطلق عليها باحثون في Kaspersky اسم “ViceLeaker” واستهدفت المحتلين الإسرائيليين وبعض دول الشرق الأوسط الأخرى من خلال برامج ضارة للمراقبة تهدف إلى سرقة جميع المعلومات التي يمكن الوصول إليها تقريبا بما في ذلك تسجيلات المكالمات والرسائل النصية والصور ومقاطع الفيديو دون معرفة المستخدمين.
إلى جانب وظائف التجسس التقليدية هذه فإن البرمجيات الخبيثة لديها أيضا إمكانيات تحميل وتنزيل وحذف الملفات وتسجيل الصوت المحيطي والكاميرا وإجراء المكالمات أو إرسال رسائل إلى أرقام محددة.
وتم تسمية البرامج الضارة المستخدمة في هذه الحملات باسم “Triout” في تقرير نشره Bitdefender في عام 2018 وهو نوع من إطار البرامج الضارة الذي يستخدمه المهاجمون لتحويل التطبيقات الشرعية إلى برامج تجسس عن طريق ضخ حمولة ضارة إضافية فيها.
في تقرير جديد كشفت Kaspersky Lab أن المهاجمين يستخدمون أداة Baksmali بنشاط لتفكيك ثم إعادة تجميع رمز التطبيق الشرعي بعد حقن الشفرة الخبيثة فيه وهي تقنية تعرف باسم حقن Smali.
وقال الباحثون بناء على إحصائيات الكشف فإن ناقل العدوى الرئيسي هو انتشار تطبيقات طروادة مباشرة للضحايا عبر رسلي Telegram و WhatsApp. إلى جانب ذلك وجد الباحثون أيضا أن الكود المستخدم في البرامج الضارة لتحليل الأوامر من خادم الأوامر والتحكم يشبه الإصدارات المعدلة من عميل XMPP / Jabber مفتوح المصدر لنظام أندرويد يسمى “المحادثات”.
ووفقا للباحثين لا تزال حملة هجوم ViceLeaker مستمرة ويمكن للمهاجمين توزيع الإصدارات الخبيثة المعاد تعبئتها من التطبيقات الشرعية من خلال متاجر التطبيقات التابعة لجهات خارجية أو الرسائل الفورية أو صفحات الويب التي يسيطر عليها المهاجمون. ونظرا لأن هذه التطبيقات تتنكر كتطبيقات شرعية أو شعبية يوصى مستخدمو Android دائما بتنزيل التطبيقات من مصادر موثوقة مثل متجر Google Play لمنع أنفسهم من الوقوع ضحية لهذا الهجوم.
المصدر : thehackernews
