تقوم البرامج الضارة الجديدة ذات القدرات الواسعة لبرامج التجسس بسرقة البيانات من أجهزة Android المصابة وهي مصممة للتشغيل تلقائيًا عند قراءة معلومات جديدة ليتم اختراقها. لا يمكن تثبيت برنامج التجسس إلا كتطبيق "تحديث النظام" المتاح عبر متاجر تطبيقات Android التابعة لجهات خارجية لأنه لم يكن متاحًا على متجر Google Play. هذا يحد بشكل كبير من عدد الأجهزة التي يمكن أن يصيبها ، بالنظر إلى أن معظم المستخدمين ذوي الخبرة سيتجنبون على الأرجح تثبيته في المقام الأول. تفتقر البرامج الضارة أيضًا إلى طريقة لإصابة أجهزة Android الأخرى من تلقاء نفسها ، مما يزيد من إمكاناتها المحدودة في الانتشار.
ومع ذلك ، عندما يتعلق الأمر بسرقة بياناتك ، فإن حصان طروادة (RAT) الذي يمكن الوصول إليه عن بُعد يمكنه جمع مجموعة واسعة من المعلومات ونقلها إلى خادم القيادة والتحكم الخاص به. لاحظ باحثو Zimperium الذين رصدوا ذلك أثناء "سرقة البيانات والرسائل والصور والسيطرة على هواتف Android."
ماذا يحدث عند تثبيت البرامج الضارة
وأضافوا: "بمجرد السيطرة ، يمكن للقراصنة تسجيل المكالمات الصوتية والمكالمات الهاتفية ، والتقاط الصور ، ومراجعة سجل المتصفح ، والوصول إلى رسائل WhatsApp ، والمزيد". قالت Zimperium إن مجموعتها الواسعة من إمكانات سرقة البيانات تشمل:
- سرقة رسائل المراسلة الفورية ؛
- سرقة ملفات قاعدة بيانات المراسلة الفورية (إذا كان الجذر متاحًا) ؛
- فحص الإشارات المرجعية وعمليات البحث في المتصفح الافتراضي ؛
- فحص الإشارة المرجعية وسجل البحث من Google Chrome و Mozilla Firefox و Samsung Internet Browser ؛
- البحث عن الملفات ذات الامتدادات المحددة (بما في ذلك .pdf و. doc و. docx و. xls و. xlsx) ؛
- فحص بيانات الحافظة ؛
- فحص محتوى الإخطارات ؛
- تسجيل الصوت
- تسجيل المكالمات الهاتفية
- التقاط الصور بشكل دوري (إما من خلال الكاميرات الأمامية أو الخلفية) ؛
- قائمة التطبيقات المثبتة ؛
- سرقة الصور ومقاطع الفيديو.
- مراقبة موقع GPS ؛
- سرقة رسائل SMS ؛
- سرقة اتصالات الهاتف ؛
- سرقة سجلات المكالمات ؛
- إخراج معلومات الجهاز (على سبيل المثال ، التطبيقات المثبتة ، واسم الجهاز ، وإحصائيات التخزين).
كيف تعمل؟
بمجرد التثبيت على جهاز Android ، سيرسل البرنامج الضار عدة أجزاء من المعلومات إلى خادم الأوامر والتحكم (C2) في Firebase ، بما في ذلك إحصائيات التخزين ونوع اتصال الإنترنت ووجود تطبيقات مختلفة مثل WhatsApp. يحصد برنامج التجسس البيانات مباشرة إذا كان لديه حق الوصول إلى الجذر أو سيستخدم خدمات إمكانية الوصول بعد خداع الضحايا لتمكين الميزة على الجهاز المخترق. سيقوم أيضًا بفحص وحدة التخزين الخارجية بحثًا عن أي بيانات مخزنة أو مخبأة ، وجمعها ، وتسليمها إلى خوادم C2 عندما يتصل المستخدم بشبكة Wi-Fi. على عكس البرامج الضارة الأخرى المصممة لسرقة البيانات ، سيتم تشغيل هذا البرنامج باستخدام contentObserver وأجهزة استقبال البث في Android فقط عند استيفاء بعض الشروط ، مثل إضافة جهة اتصال جديدة أو رسائل نصية جديدة أو تطبيقات جديدة يتم تثبيتها.
قال زيمبيريوم: "الأوامر التي يتم تلقيها من خلال خدمة رسائل Firebase تبدأ إجراءات مثل تسجيل الصوت من الميكروفون واستخراج البيانات مثل الرسائل النصية القصيرة".
"يتم استخدام اتصال Firebase فقط لإصدار الأوامر ، ويتم استخدام خادم C&C مخصص لجمع البيانات المسروقة باستخدام طلب POST."
تمويه
سيعرض البرنامج الضار أيضًا إشعارات "البحث عن التحديث" الوهمية لتحديث النظام عندما يتلقى أوامر جديدة من أسياده لإخفاء نشاطه الضار. يخفي برنامج التجسس أيضًا وجوده على أجهزة Android المصابة عن طريق إخفاء الرمز من الدرج / القائمة. لمزيد من التهرب من الاكتشاف ، سوف يسرق فقط الصور المصغرة لمقاطع الفيديو والصور التي يعثر عليها ، وبالتالي تقليل استهلاك النطاق الترددي للضحايا لتجنب لفت انتباههم إلى نشاط استخراج بيانات الخلفية. على عكس البرامج الضارة الأخرى التي تحصد البيانات بشكل مجمّع ، سيتأكد هذا البرنامج أيضًا من أنه يخرج البيانات الأحدث فقط ، ويجمع بيانات الموقع التي تم إنشاؤها والصور الملتقطة خلال الدقائق القليلة الماضية.
إذا كنت ترغب في اقرأ أكثر فائدة مقالات ونصائح حول زيارة البرامج والأجهزة المختلفة errortoolsكوم يوميا.