عصابة Transparent Tribe الرقمية تستهدف أجهزة أندرويد ببرمجية تجسس تحت تطبيقات رسمية

كشف باحثو كاسبرسكي عن نتائج توصلوا إليها حول تطبيق جديد للتجسس موجّه إلى الأجهزة المحمولة العاملة بنظام “أندرويد” توزعه عصابة Transparent Tribe الرقمية الناشطة في مجال التهديدات المتقدمة المستمرة (APT). وتستهدف العصابة بهذا التطبيق المستخدمين في الهند تحت ستار محتوى للبالغين أو تطبيق رسمي يتعلّق بجائحة كورونا، ما يعكس تحرّك المجموعة التخريبية نحو توسعة عملياتها وإصابة الأجهزة المحمولة. ونشرت كاسبرسكي هذه النتائج وغيرها في تقرير يعرض الجزء الثاني من تحقيقاتها في الجرائم الرقمية التي ترتكبها هذه العصابة.

وتواصل العصابات الرقمية إلى الآن إساءة استغلال جائجة فيروس كورونا المستجد عبر إطلاق مزيد من التهديدات القائمة على مبادئ الهندسة الاجتماعية. وتُعدّ Transparent Tribe، التي تتعقبها كاسبرسكي منذ أكثر من أربع سنوات، إحدى أبرز تلك العصابات التي تبنّت موضوع الجائحة في حملاتها التخريبية التجسسية.

وتظهر أحدث نتائج التحقيقات التي تجريها كاسبرسكي أن المجموعة تنشط في تحسين مجموعة أدواتها وتوسعة نطاق استهدافها ليشمل الأجهزة المحمولة. وتمكنت كاسبرسكي، في تحقيق سابق، من العثور على غِرسة برمجية خبيثة جديدة تستهدف النظام “أندرويد” Android، وتستخدمها العصابة للتجسس على الأجهزة المحمولة في هجمات في الهند استغلّت الجائحة تحت ستار تطبيقٍ إباحي أو تطبيق تعقب مزيف يتعلق بالجائحة. وجرى الربط بين العصابة والتطبيقين بفضل النطاقات التي استخدمتها العصابة لاستضافة الملفات الخبيثة الخاصة بحملاتها التخريبية.

ويتألف التطبيق الأول من نسخة معدلة من مشغل فيديو مفتوح المصدر يعمل على النظام أندرويد، ويعرض عند تثبيته مقطعًا إباحيًا يشكّل إلهاءً للمستخدم عن الهدف الحقيقي الخفي من التطبيق. أما التطبيق الثاني المستخدم في استهداف الأجهزة المحمولة والمسمّى Aarogya Setu، فيشبه التطبيق الرسمي الخاص بتعقّب حالات الإصابة بفيروس كورونا المستجد، والذي طوّره المركز الوطني للمعلومات التابع لوزارة الإلكترونيات وتقنية المعلومات في الحكومة الهندية.

ويحاول كلا التطبيقين، بمجرد تنزيلهما، تثبيت حزمة ملفات أخرى خاصة بأندرويد، وتشكّل نسخة معدلة من أداة التحكّم عن بُعد AhMyth Android، البرمجية الخبيثة مفتوحة المصدر التي يمكن تنزيلها من بوابة GitHub، والتي أنشئت عن طريق تركيب حمولة خبيثة داخل تطبيقات رسمية.

ويختلف الإصدار المعدّل من البرمجية الخبيثة في وظائفه عن الإصدار الأصلي؛ إذ يتضمن مزايا جديدة أضافها المخرّبون لتحسين استخلاص البيانات، في حين فُقدت بعض المزايا الأساسية، مثل سرقة الصور من الكاميرا. ويستطيع التطبيق تنزيل تطبيقات جديدة على الهاتف والوصول إلى رسائل SMS وإلى الميكروفون وسجلات المكالمات، وبإمكانه أيضًا تتبع موقع الجهاز وحصر الملفات وتحميلها إلى الخادم المتصل به.

وأكّد غيامباولو ديدولا الباحث الأمني الأول في فريق البحث والتحليل العالمي لدى كاسبرسكي، أن النتائج الجديدة تكشف عن الجهود الكبيرة التي تبذلها عصابة Transparent Tribe لإضافة أدوات جديدة فعالة تخوّلهم التوسع في عملياتهم والوصول إلى ضحاياهم عبر نواقل هجوم مختلفة، باتت الآن تشمل الأجهزة المحمولة، وقال: “تعمل العصابة بجدّ وباستمرار على تحسين الأدوات التي تستخدمها، ولذا ينبغي للمستخدمين توخّي مزيد من الحذر في تقييم الموارد التي يحصلون منها على المحتوى الرقمي عبر الإنترنت والحرص على إبقاء أجهزتهم آمنة من مثل هذه التهديدات، ولا سيما إذا كانوا يتوقّعون أنهم قد يكونوا مستهدفين بهجمات متقدمة”.

ويمكن الوصول إلى معلومات تفصيلية حول مؤشرات الاختراق المتعلقة بهذه العصابة، بما يتضمّن تجزئات الملفات وخوادم القيادة والسيطرة، عبر بوابة Kaspersky Threat Intelligence Portal.

وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التالية للبقاء في مأمن من التهديدات:

• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات التهديدات. وتُعدّ بوابة Kaspersky Threat Intelligence Portal منصة واحدة يمكن للمؤسسات عبرها الوصول إلى أحدث المعلومات الخاصة بالتهديدات، حيث تتاح البيانات المتعلقة بالهجمات الإلكترونية والرؤى التي جمعتها كاسبرسكي بشأنها على مدار أكثر من 20 عامًا.
• الحرص على توظيف حلول مثل Kaspersky Endpoint Security for Business، لضمان اكتشاف التهديدات في الهواتف والأجهزة المحمولة، ومنع تنزيل سوى التطبيقات الآمنة على الأجهزة المحمولة المؤسسية.
• الحرص على تعريف الموظفين بأساسيات الأمن الرقمي للأجهزة المحمولة عبر تقديم دورات تدريبية أمنية توعوية تغطي مثل هذه الموضوعات. ويمكن أن يساعد البرنامج التدريبي Kaspersky Adaptive Online Training، على سبيل المثال، في الحصول على التدريب المنشود في هذا السياق.

يمكن الاطلاع على التقرير الكامل المتعلق بعصابة Transparent Tribe على الصفحة Securelist.

كما يمكن معرفة المزيد عن نشاط مجموعة التهديد هذه في ورشة الويب المقبلة GReAT Ideas، التي سوف تقام يوم 26 أغسطس عند الساعة 2 بعد الظهر بتوقيت غرينتش. ويمكن التسجيل مجانًا عبر الرابط https://kas.pr/v1oj. عنوان الورشة: Powered by SAS: advancing on new fronts – tech, mercenaries and more.