تعرف على الخدع التي يستخدمها المجرمون الإلكترونيون للاختباء داخل هاتفك

البرامج الضارة في متجر جوجل الرسمي لا تتوقف أبدًا عن الظهور. وبالنسبة إلى المجرمين الإلكترونيين ، يعتبر الحصول على تطبيقاتهم الضارة في سوق التطبيقات الحقيقية بمثابة نصر كبير.

في حين أكتشف المحللون منهجيات جديدة لتحليل البرمجيات الخبيثة وتمكن المستخدمون من فهم كيفية عمل كل هذه الأمور ، ويسعى مجرمو الإنترنت حاليا إلى إيجاد طرق جديدة للاختباء في الهواتف والأجهزة المختلفة.

ويمكن حصر الخدع المتطورة و المعقدة و التي تستخدم في زيادة فعالية الهجمات في فئتين مختلفتين: الأولى ، استراتيجيات الهندسة الاجتماعية التي تسعى إلى إرباك المستخدمين ؛ والثاني ، الآليات التقنية المتطورة التي تحاول عرقلة اكتشاف وتحليل البرامج الضارة.

تلخص هذه المقالة بعض الأمور الشائعة لرموز أنظمة أندرويد الخبيثة على مدار السنوات القليلة الماضية.

استخدم الحسابات الاحتيالية في “بلاي ستور” لتوزيع البرامج الضارة

البرامج الضارة في متجر جوجل الرسمي لا تتوقف أبدًا عن الظهور. بالنسبة لمجرمي الإنترنت ، يعتبر التسلل إلى تطبيقاتهم الخبيثة في سوق التطبيقات الأصلية نصرا كبيرا ، حيث يمكنهم الوصول إلى العديد من الضحايا المحتملين ، وبالتالي الحصول على ضمان قوي لإحداث إصابات مختلفة و متعددة في أجهزة المستخدمين.

والأكثر من ذلك هو أن “حسابات مطوري البرامج المزورة” تستخدم في نشر التطبيقات الغير آمنة أو الخبيثة و التي تحاول أن تبدو مشابهة بقدر الإمكان للحسابات الحقيقية ، من أجل خداع المستخدمين المطمئنين الذين ينتهي بهم الأمر بإصابتهم بحالة إرتباك. ومثال على ذلك ، اكتشف الباحثون تطبيقًا زائفًا لتحديث “واتساب” استخدم خدعة شخصية لـلترميز الموحد Unicode لإعطاء الانطباع بأنه يتم توزيعه من خلال الحساب الرسمي.

الإستفادة من التواريخ التذكارية وتواريخ إصدار التطبيقات المجدولة

من الممارسات الشائعة في عالم الجريمة السيبرانية هو جعل البرامج الخبيثة تبدو وكأنها نسخ من التطبيقات الأصلية –و غالبا تكون تطبيقات الألعاب ، و التي اكتسبت شعبية مفاجئة ، سواء كان متوفرة أو لا تتوفر في المتاجر الرسمية لبلدان معينة. حدث هذا مع ألعاب Pokémon GO و Prisma و Dubsmash ، مسببة مئات الآلاف من الإصابات في جميع أنحاء العالم.

التغلغل و النوافذ المتراكبة

يُعتبر التغلغل (Tapjacking) تقنية تتضمن إلتقاط “النقر” على شاشة المستخدم عن طريق عرض تطبيقين متراكبين. لذلك يعتقد الضحايا أنهم ينقرون على التطبيق الذي يشاهدونه ، لكنهم في الواقع ينقرون على التطبيق الأساسي، الذي يظل مخفيًا عن العرض ولا يمكن رؤيته.

وهناك استراتيجية أخرى مشابهة تستخدم على نطاق واسع في برامج التجسس من أجل سرقة بيانات الاعتماد في أنظمة أندرويد ، وهي النوافذ المتراكبة. في هذه الجريمة، تتعقب البرامج الضارة باستمرار التطبيق الذي يستخدمه المستخدم ، وعندما يتزامن مع تطبيق موضوعي معين ، فإنه يعرض مربع الحوار الخاص به الذي يشبه التطبيق الشرعي ، ويطلب بيانات الاعتماد من المستخدم.

برمجيات خبيثة مموهة بين تطبيقات النظام

و إلى حد ما ، فإن أسهل طريقة لإخفاء الرمز الخبيث على الجهاز هو تمريره كتطبيق في النظام والانتقال دون أن يلحظه أحد على قدر الإمكان. إن الممارسات الخاطئة مثل حذف أيقونة التطبيق بمجرد الانتهاء من التثبيت أو استخدام الأسماء والحزم والرموز الخاصة بتطبيقات النظام والتطبيقات الشائعة الأخرى هي استراتيجيات تظهر في الكود من أجل إختراق الجهاز مثل “تروجان” (Trojan) الذي تم تمريره على أنه Adobe Flash Player من أجل سرقة الاعتمادات.

محاكاة نظام وتطبيقات الأمان لطلب أذونات المسؤول

نظرًا لأن نظام أندرويد منظم ف الحد من أذونات التطبيق ، تحتاج الكثير من الشفرات الضارة أذونات المسؤول لتنفيذ وظائفها بشكل صحيح. ومنح هذا الإذن من قبل المسؤول يزيد من صعوبة إلغاء تثبيت البرامج الضارة.

إن تمويه البرامج الضارة كأدوات أمنية أو تحديثات في النظام يمنح المجرمين الإلكترونيين مزايا معينة. و بشكل خاص فإنه يسمح لهم بحماية أنفسهم خلف مطور لبرامج تطبيقات موثوق به ، وبالتالي لا يتردد المستخدمون في السماح للتطبيق بالوصول إلى الوظائف الإدارية على أجهزتهم.

شهادات الأمان التي تحاكي البيانات الحقيقية

يمكن أيضًا استخدام شهادة الأمان المستخدمة للتوقيع على ملف (APK) لتحديد ما إذا كان قد تم تغيير التطبيق أم لا. وعلى الرغم من أن معظم المجرمين الإلكترونيين يستخدمون سلاسل نصية عامة عند إصدار الشهادة ، فإن الكثيرين منهم يواجهون مشكلة التظاهر بالبيانات التي تتوافق مع البيانات المستخدمة من قِبل المطور ، مما يدفعهم للمزيد من تشويش المستخدمين الذين يقومون بهذه الفحوصات.

وظائف متعددة في نفس الكود

يتمثل الاتجاه الذي تم اكتسابه في السنوات الأخيرة في عالم الهواتف الجوالة هو الجمع بين ما كان أنواعًا مختلفة من البرامج الضارة في برنامج واحد قابل للتنفيذ. “لوكيبوت” (LokiBot) هو أحد الأمثلة على ذلك ، وهو حصان طروادة مصرفي يحاول أن يمر مرور سلس و هادئ لأطول فترة ممكنة لسرقة المعلومات من الجهاز ؛ ومع ذلك ، إذا حاول المستخدم إزالة أذونات المسؤول لإلغاء تثبيته ، فإنه ينشط هجمات الفدية عن طريق تشفير ملفات الجهاز.

تطبيقات مخفية

إن استخدام البرامج الخبيثة مثل (droppers) و (downloaders) تضمن شفرة خبيثة داخل ملف APK آخر أو عملية تنزيل من الإنترنت ، هو إستراتيجية لا تقتصر على البرامج الضارة لأجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر فحسب ، بل تستخدم أيضًا عالميًا من قِبل مؤلفي رموز الهواتف النقالة الخبيثة.

ونظرًا لأن Google Bouncer (الذي أصبح يُعرف الآن باسم “الحماية لجوجل بلاي” ) قد أدى إلى تعقيد قدرة المجرمين الإلكترونيين على تحميل البرامج الضارة إلى المتجر الرسمي ، اختار المهاجمون التطبيقات الخفية في محاولة لتجاوز الضوابط و الدخول و لقد نجحوا في ذلك ولو مرات قليلة على الأقل !

ومنذ ذلك الحين ، تمت إضافة و تصنيف هذين الشكلين من طرق تشفير البرامج الضارة إلى مجموعة التقنيات الخبيثة الأكثر استخدامًا.

لغات مبرمجة متعددة ورموز متقلبة

لقد ظهرت أطر تطوير ولغات برمجة جديدة طوال الوقت. لا يوجد طريقة أفضل من دمج اللغات وبيئات التطوير لتضليل محلل البرامج الضارة ، مثل تصميم التطبيقات باستخدام Xamarin أو استخدام شفرة Lua لتنفيذ أوامر ضارة. هذه الإستراتيجية تعمل على تغير التصميم التنفيذي النهائي وتضيف مستويات أخرى من التعقيد.

إضاف بعض المهاجمين إلى هذه التوليفة استخدام برنامج نصي ديناميكي أو أجزاء من الكود التي يتم تنزيلها من خوادم التحكم و تم حذفها بعد الاستخدام. وبمجرد أن يتم إزالة الخادم من قبل المجرم الإلكتروني ، لا يمكن معرفة الإجراءات بالتحديد التي قام بها الكود على الجهاز .

بدأت العينات مع هذه الخصائص تظهر في نهاية العام 2014 ، عندما نشر الباحثون هذا التحليل الخبيث المعقد للغاية.

البرامج الضارة التآزرية (Synergistic malware)

يمثل أحد الاساليب في تعقيد عملية التحليل للبرامج الضارة في تقسيم الوظائف الخبيثة إلى مجموعة من التطبيقات القادرة على التفاعل مع بعضها البعض. من خلال القيام بذلك ، يحتوي كل تطبيق على مجموعة فرعية من الأذونات والوظائف الضارة ، ثم يتفاعلون مع بعضهم البعض لتحقيق هدف إضافي. بالإضافة انه سيتعين على المحللين أن يتمكنوا من الوصول إلى جميع التطبيقات الفردية لفهم الوظيفة الحقيقية للبرامج الضارة ، إنه أمر يشبة قطع من الالغاز التي يجب تجميعها و ربطها.

وعلى الرغم من أن هذه ليست إستراتيجية شائعة الاستخدام ، فقد كانت هناك بالفعل نماذج تعرضت لهذا النوع من الهجمات.

القنوات السرية وآليات الاتصال الجديدة

للتواصل مع “خادم C & C” أو التطبيقات الضارة الأخرى ، تحتاج البرامج الضارة إلى نقل المعلومات. ويمكن القيام بذلك عن طريق القنوات التقليدية المفتوحة أو القنوات المخفية (بروتوكولات الاتصال المخصصة ، وكثافة السطوع ، وأقفال التنبيه ، واستخدام وحدة المعالجة المركزية CPU ، والمساحة الخالية في الذاكرة ، ومستويات الصوت أو الاهتزاز ، وغيرها).

علاوة على ذلك ، رأينا في الأشهر الأخيرة كيف يستخدم المجرمون الإلكترونيون الشبكات الاجتماعية لنقل رسائل C & C ، مثل Twitoor التي تستخدم حسابات تويتر لإرسال الأوامر.

تقنيات أخرى مضادة للتحليل

إن استخدام أساليب التغليف ، ومكافحة المضاهاة ، ومكافحة التصحيح ، والتشفير ، والتشويش ،من بين تقنيات التهرب الأخرى من عمليات التحليل ،و هو أمر شائع جدًا في البرامج الضارة لأنظمة أندرويد من أجل اأجللالتفاف على أنواع الحماية المختلفة ،و يمكن استخدام وظائف الربط ، ربما من خلال تطبيقات مثل Frida.

ومن الممكن استخدام بيئات التحليل التي تحاول تفادي عناصر التحكم هذه افتراضيًا ، مثل MobSF – والتي تتضمن بعض تقنيات مكافحة المضاهاة ، Inspeckage – على سبيل المثال ، يمكن رؤية السلاسل النصية المسطحة قبل وبعد تشفيرها ، بالإضافة إلى المفاتيح المستخدمة ، أو AppMon.