- عثرت شركة كاسبيرسكي الروسية للأمن السيبراني على إصدار جديد من برنامج التجسس Mandrake مختبئًا في 5 تطبيقات على Google Play.
- تم إزالة جميع التطبيقات المصابة، ولكن تم تنزيلها بالفعل 32000 مرة. وجاءت معظم عمليات التنزيل من إسبانيا وبيرو وألمانيا وكندا والمملكة المتحدة.
- الجزء الأسوأ في هذا الإصدار الجديد هو أنه من الصعب جدًا اكتشافه.
تم إصدار نسخة جديدة من برنامج التجسس الشهير Mandrake لنظام Android تم العثور عليها في 5 تطبيقات في متجر Google Playوفقًا لتقرير صادر عن شركة كاسبرسكي، تتضمن هذه التطبيقات:
- نظام AirFS (com.airft.ftrnsfr)
- العنبر (com.shrp.sght)
- مصفوفة الدماغ (com.Astro.dscvr)
- النبض المشفر (com.breath.mtrx)
- Astro Explorer (com.crypto pulsing.browser)
وفقًا للتقرير، تم نشر برامج التجسس الاختباء في هذه التطبيقات خلال العامين الماضيينيبلغ إجمالي عدد عمليات التثبيت لهذه التطبيقات أكثر من 32000 عملية.
وجاءت معظم هذه التنزيلات من المكسيك وإسبانيا وبيرو وألمانيا وكندا والمملكة المتحدة. لقد تمت إزالة جميع التطبيقات الخمسة الآن من متجر التطبيقات مع إزالة التطبيق الأكثر شهرة، AirFS، في نهاية مارس 2024.
حول الإصدار الجديد من Mandrake
استخدم الإصدار الجديد طبقات جديدة من تقنيات التهرب حسب للباحثين تاتيانا شيشكوفا وإيجور جولوفين:
- نقل الوظائف الضارة إلى المكتبات الأصلية المشوشة
- استخدام تثبيت الشهادة لاتصالات C2، و
- إجراء مجموعة واسعة من الاختبارات للتحقق مما إذا كان Mandrake يعمل على جهاز متجذر أو في بيئة محاكاة.
على سبيل المثال، أضاف Android 13 ميزة “الإعدادات المقيدة” التي تمنع التطبيقات التي يتم تحميلها من الخارج من طلب أذونات خطيرة. لكن Mandrake يتخطى هذه العقبة بذكاء من خلال معالجة التثبيت باستخدام برنامج التثبيت للحزمة المستندة إلى الجلسة.
هناك ثلاث مراحل متضمنة:
- ال المرحلة الأولى هي القطارة الذي يقوم بتشغيل برنامج التحميل الذي ينفذ المكون الأساسي للبرامج الضارة بعد التنزيل.
- في المرحلة الثانية، يتم جمع معلومات حول حالة اتصال الجهاز ونسبة البطارية وعنوان IP وإصدار Google Play الحالي. في هذه المرحلة، يمكن لبرامج التجسس أيضًا مسح الوحدة الأساسية والحصول على الإذن لرسم تراكبات وتشغيلها في الخلفية.
- في المرحلة الأخيرة، يمكن تحميل عنوان URL خاص على الويب، مما سيمنح في النهاية الجهة المسؤولة عن التهديد إمكانية مشاركة الشاشة عن بعد.
ماذا يقول جوجل عن هذا؟
تم إبلاغ شركة جوجل بالحادثة، وقالت شركة التكنولوجيا العملاقة إنها تعزيز أمنها باستمرار لمنع مثل هذه الجهات الفاعلة من الوصول إلى مستخدميها. على سبيل المثال، أضافت تقنية الكشف المباشر عن التهديدات للتعامل مع تقنيات مكافحة التهرب.
وفي حديثها عن Mandrake على وجه التحديد، قالت Google أن المستخدمين محميون بالفعل ضد الإصدارات المعروفة من هذه البرامج التجسسية بواسطة Google Play Protect والذي يتم تشغيله افتراضيًا في جميع أجهزة Android.
ولكن كما ذكر كاسبيرسكي، فإن Mandrake هو أحد تلك البرامج الضارة التي في تطور مستمر والتوصل إلى تقنيات جديدة للتهرب. لذا فإن التعامل مع هذه المشكلة لا يزال يشكل تحديًا كبيرًا.
ويعتقد أن برامج التجسس أصبح نشطًا لأول مرة في عام 2016 ولكنه تمكن من الإفلات من الاكتشاف حتى عام 2020 عندما تم توثيقه لأول مرة بواسطة شركة الأمن السيبراني الرومانية Bitdefender. لقد مرت 4 سنوات ومع ذلك، تمكن Mandrake من الإفلات من العقاب في كل مرة.
عملية التحرير لدينا
تقرير التكنولوجيا السياسة التحريرية يركز على تقديم محتوى مفيد ودقيق يقدم قيمة حقيقية لقرائنا. نحن نعمل فقط مع الكتاب ذوي الخبرة الذين لديهم معرفة محددة في الموضوعات التي يغطونها، بما في ذلك أحدث التطورات في التكنولوجيا، والخصوصية عبر الإنترنت، والعملات المشفرة، والبرمجيات، والمزيد. تضمن سياستنا التحريرية أن يتم البحث في كل موضوع واختياره من قبل محررينا الداخليين. نحن نحافظ على معايير صحفية صارمة، وكل مقال مكتوب بنسبة 100٪ من قبل المؤلفون الحقيقيون.