كاسبرسكي لاب تكتشف حملة “ZooPark” لنشر البرمجيات الخبيثة على أجهزة “أندرويد”
اكتشف باحثون في شركة كاسبرسكي لاب حملة للتجسس الإلكتروني بطريقة متطورة، ظلّت لسنوات تستهدف مستخدمي أجهزة “أندرويد” في العديد من بلدان الشرق الأوسط. وتلجأ الجهة التي تقف وراء الحملة المسمّاة ZooPark إلى اختراق مواقع شرعية لاستخدامها كمصدر لإصابة أهدافها، فيما تبدو الحملة وكأنها مدعومة من قبل جهات حكومية، كونها تستهدف منظمات سياسية وناشطين وأهدافاً أخرى في المنطقة.
وحصل باحثو كاسبرسكي لاب حديثاً على ما بدا أنه عينة من برمجية خبيثة تصيب الأجهزة العاملة على النظام أندرويد. وبدا للوهلة الأولى أن هذه البرمجية الخبيثة ليست ذات شأن كبير، نظراً لكونها أداة تجسس بسيطة من الناحية التقنية. وقرر الباحثون إجراء مزيد من الأبحاث والتحقيقات، وسرعان ما اكتشفوا نسخة أحدث وأكثر تطوراً من التطبيق نفسه، فقرروا تسميتها ZooPark.
ويتم توزيع بعض تطبيقات ZooPark الخبيثة من مواقع ويب إخبارية وسياسية شهيرة في أجزاء محددة من الشرق الأوسط. وهي تتنكر على هيئة تطبيقات مشروعة تحمل أسماء مثل TelegramGroups (مجموعات تليجرام) و”أخبار النهار المصرية” وغيرها من أسماء معروفة في بعض بلدان الشرق الأوسط. وتتيح هذه التطبيقات للمهاجم، عند نجاحها في إصابة الجهاز المستهدف، سرقة بيانات تتضمن جهات الاتصال، وبيانات الحساب، وسجلات المكالمات، والتسجيلات الصوتية للمكالمات، والصور المخزنة على بطاقة SD للجهاز، والموقع حسب نظام تحديد المواقع العالمي GPS، والرسائل النصية القصيرة، وتفاصيل التطبيق المثبتة، وبيانات متصفح الويب، وسجلّ النقر على مفاتيح، وبيانات الحافظة، وغيرها.
كذلك تتيح التطبيقات الخبيثة للمهاجمين إجراء بعض العمليات خلسة من دون علم المستخدم، كإرسال الرسائل النصية القصيرة، وإجراء المكالمات الهاتفية، وتنفيذ أوامر معينة عبر قشرة نظام التشغيل (واجهة الاستخدام الخاصة بنواة نظام التشغيل).
ويستهدف التطبيق الخبيث كذلك تطبيقات المراسلة الفورية، مثل Telegram وWhatsApp وIMO، فضلاً عن متصفح الويب Chrome وبعض التطبيقات الأخرى، ما يتيح له سرقة قواعد البيانات للتطبيقات المستهدفة بالهجوم، كما يمكن، نتيجة للهجوم، الوصول إلى بيانات الاعتماد المخزنة الخاصة بمواقع ويب أخرى عبر متصفح الويب المخترَق.
وتشير تحقيقات كاسبرسكي لاب إلى أن المهاجمين يركِّزون على المستخدمين في مصر والأردن والمغرب ولبنان وإيران. واستناداً إلى الموضوعات الإخبارية التي استخدمها المهاجمون لجذب الضحايا وجعلهم يُنزِّلون ويثبِّتون البرمجيات الخبيثة، فإن الأفراد العاملين في وكالة الأمم المتحدة لإغاثة وتشغيل اللاجئين يُعتبرون من بين الأهداف المحتملة لبرمجيات ZooPark الخبيثة.
وقال أليكسي فيرش، الخبير الأمني لدى كاسبرسكي لاب، إن مزيداً من الأشخاص يستخدمون أجهزتهم المحمولة كأداة الاتصال الأساسية أو الوحيدة في بعض الأحيان، وأضاف: “يتمّ رصد نمط الاستخدام هذا من قِبل الجهات التي تقف وراء الحملات الخبيثة بدعم من بعض الدول، والتي تقوم ببناء أدواتها بطريقة فعالة بما يكفي لتتبع مستخدمي الأجهزة المحمولة، وما حملة الهجمات المستمرة المتقدمة ZooPark، التي تتجسس بنشاط على أهداف في دول الشرق الأوسط، إلاّ مثالًا على ذلك، ولكنها بالتأكيد ليست الوحيدة من نوعها”.
وتمكن باحثو كاسبرسكي لاب، في المجمل، من تحديد أربعة أجيال على الأقل من برمجيات التجسس الخبيثة المرتبطة بعائلة ZooPark، والتي تنشط منذ العام 2015 على أقل تقدير.
وتجدر الإشارة إلى أن منتجات كاسبرسكي لاب تعمل على اكتشاف هذا التهديد ومنعه بنجاح. ويمكن الاطلاع على المزيد عن التهديد المستمر المتقدم ZooPark في الموقع Securelist.com.
