أكثر من 4 آلاف تطبيق تقوم بتسجيل الأصوات سرًا وسرقة سجل الهواتف

أكثر من 4 آلاف تطبيق تقوم بتسجيل الأصوات سرًا وسرقة سجل الهواتف

المصدر: حنين الوعري- إرم نيوز

قال باحثون أمنيون، إن طرفاً تهديدياً واحداً قصف بشدة مستخدمي الأندرويد بأكثر من 4 آلاف تطبيق من برامج التجسس منذ شباط/ فبراير الماضي، وفي 3 حالات على الأقل قام المصدر بإدخال التطبيقات إلى متجر التطبيقات Play Market  الرسمي في غوغل.

ووفقاً لمدّونة نشرت الخميس، من قبل باحث في شركة أمن الهواتف الذكية Lookout، كان تطبيق Soniac أحد التطبيقات الثلاثة التي وصلت لمتجر Google Play الافتراضي للتطبيقات.

وقدم التطبيق الذي تم تنزيله من 1000 إلى 5000 مرة قبل أن تزيله غوغل، خدمات إرسال رسائل من خلال نسخة معدلة من برنامج تيليغرام للتواصل.

ومن وراء الكواليس كان باستطاعة التطبيق تسجيل الأصوات بشكل خفي، والإجابة عن الاتصالات القادمة وإرسال رسائل نصية واستعادة سجل الهاتف والإطلاع على جهات الاتصال ومعلومات عن نقاط الاتصال اللاسلكية.

وقامت غوغل بإخراج التطبيق بعد أن أعلنت شركة Lookout  أنه برنامج خبيث. كما كان تطبيقان آخران هما Hulk Messenger  و  Troy Chat متاحين في متجر Google Play لكنهما أزيلا في وقت لاحق.

ومن غير الواضح ما إذا كان مطوّر التطبيقين قد سحبهما، أم أن غوغل أزالتهما بعد اكتشاف قدراتهما على التجسس.

أما بقية التطبيقات التي تجاوز عددها منذ شهر شباط / فبراير الـ 4000 تطبيق، فيتم توزيعها من خلال قنوات أخرى لم تكن واضحة على الفور.

وقال مايكل فلوسمان، الباحث في شركة Lookout إن هذه القنوات قد تتضمن متاجر بديلة أو رسائل نصية مستهدفة تتضمن رابطًا للتنزيل.

وهذه التطبيقات جميعها تتبع لعائلة البرامج الخبيثة التي تطلق عليها شركة Lookout  اسم  SonicSpy/ سونيك سباي.

وقال فلوسمان عبر البريد الإلكتروني: ”الذي يمكن مشاهدته في جميع أمثلة سونيك سباي، هو أنهم حين يخترقون جهازاً يتحكمون به ويتحكمون بالخوادم وينتظرون الأوامر من الجهاز المسيطر الذي يمكنه إصدار واحدًا من 73 أمراً مدعوماً، وطريقة تنفيذ ذلك مختلفة عن كل عائلة سونيك سباي“.

وبمجرد أن يتم تنزيل البرنامج بنجاح، تعمل تطبيقات سونيك سباي على إزالة أيقونة الإطلاق لإخفاء وجودها، ومن ثم إنشاء اتصال على خادم التحكم الموجود في المنفذ 2222 على  arshad93.ddns[.]net.

وقال الباحث، إن سونيك سباي يملك وجه شبه مع  عائلة التطبيقات الخبيثة  التي تدعى SpyNote/سباي نوت، والتي أبلغت عنها شركة الأمن ”بالو ألتو نيتوركس“  العام الماضي.

ويشير اسم حساب المطور iraqwebservice والعديد من الصفات الموجودة في رمز التطبيقات إلى أن المطور يقع في العراق.

 وبالإضافة إلى ذلك، فإن الكثير من البنية التحتية لأسماء النطاقات المرتبطة بسونيك سباي تتضمن إشارات إلى ذلك البلد،  وتظهر عبارة ”الدرع العراقي“ باستمرار، ولا تزال شركة Lookout تدرس وتتبع الإشارات التي تقترح أن المطوّر يقع في ذلك الجزء من العالم.

ويعد تقرير Lookout  آخر تذكير بمخاطر تنزيل البرامج من أسواق من طرف ثالث، لكنها تظهر أن الحد من مصادر التطبيقات لمتجر Google Play ليس ضماناً على أن التطبيق آمن.

ويجب أن يكون مستخدمو أندرويد حذرين من أي مصادر تطبيقات بخلاف غوغل باستثناء عروض أندرويد في أمازون، كما يجب على مستخدمي أندرويد الحذر من التطبيقات التي ليست من متجر غوغل ما عدا تخفيضات البرامج التي تعرض على أمازون لمستخدمي أندرويد.

ومن الضروري أيضًا أن يتجنب المستخدمون تثبيت تطبيقات من متاجر غوغل ذات قيمة أو أهمية مشكوك فيها، خاصة عندما يكون عدد مرات تنزيلها قليلاً.

للتصحيح أو إبداء أي ملاحظات desk (at) eremnews.com