ActionSpy .. برمجية أندرويد ضارة تستهدف الأويغور

ActionSpy .. برمجية أندرويد ضارة تستهدف الأويغور
ActionSpy .. برمجية أندرويد ضارة تستهدف الأويغور

اكتشف الباحثون برنامج تجسس جديد مصمم لنظام أندرويد يطلق عليه اسم (ActionSpy)، بحيث يستهدف هذا البرنامج الضحايا عبر التبت وتركيا وتايوان، ويتم توزيع برنامج التجسس عن طريق المواقع الوهمية، ويعتقد الباحثون أنه يتم استخدام (ActionSpy) في الحملات الجارية لاستهداف ضحايا الأويغور.

وكان الأويغور، وهم أقلية عرقية تركية تابعة لوسط وشرق آسيا، قد استُهدفوا سابقًا في هجمات عبر برامج تجسس، وبالرغم من أن الباحثين اكتشفوا برنامج التجسس لأول مرة في شهر أبريل 2020، إلا أنهم يعتقدون أن (ActionSpy) موجود منذ ثلاث سنوات على الأقل بناءً على وقت توقيع الشهادة.

وقال باحثون من شركة (Trend Micro): برنامج (ActionSpy)، الذي من المحتمل أنه موجود منذ عام 2017، هو برنامج تجسس يعمل على نظام أندرويد ويسمح للمهاجم بجمع المعلومات من الأجهزة المخترقة، كما أن لديه وحدة مصممة للتجسس على الرسائل الفورية وجمع سجلات الدردشة من أربع تطبيقات مختلفة للرسائل الفورية.

واكتشف الباحثون أن (ActionSpy) قد انتشر عبر عدة صفحات في شهر أبريل 2020، وقالوا: إن كيفية نشر هذه الصفحات – سواء عبر رسائل البريد الإلكتروني التصيدية أو غير ذلك – غير واضحة.

وكانت بعض هذه المواقع مزيفة بالفعل، ومن ضمنها صفحة واحدة تستنسخ صفحات الأخبار من موقع المؤتمر العالمي للأويغور، فيما كان البعض الآخر مواقع ويب شرعية تم اختراقها.

وحدد الباحثون موقعًا إخباريًا وموقعًا إلكترونيًا لحزب سياسي في تركيا تم اختراقها واستخدامها في الهجوم، وكذلك تم اختراق موقع ويب جامعي وموقع وكالة سفر مقرها تايوان، وجرى استخدام هذه المواقع لنشر البرمجية.

وحقن المهاجمون مواقع الويب بنص برمجي لتحميل (BeEF)، وهي أداة اختبار الاختراق التي تركز على متصفح الويب، ويقول الباحثون: إنهم يشتبهون في أن المهاجم استخدم (BeEF) لتقديم النص الضار عندما يتصفح الضحية المستهدفة موقع الويب الضار.

واكتشف الباحثون في أواخر شهر أبريل 2020 نوعًا آخر من مواقع الويب التي يبدو أنها مستنسخة من متجر ويب تابع لجهة خارجية، وتدعو هذه المواقع المستخدمين إلى تنزيل تطبيق فيديو الأويغور المشهور لدى مستخدمي أندرويد التبتيون المسمى (Ekran).

وتم حقن الصفحة بنصين لتحميل (BeEF)، بالإضافة إلى (ScanBox)، وهي أداة لجمع معلومات حول الزائر دون إصابة النظام، وقال الباحثون: تم تعديل رابط التنزيل إلى ملف أرشيف يحتوي على تطبيق أندرويد، وكشف التحليل أن التطبيق عبارة عن برنامج تجسس لنظام أندرويد أطلقنا عليه اسم (ActionSpy).

ويجمع (ActionSpy) معلومات الجهاز الأساسية، من ضمنها (IMEI) ورقم الهاتف والشركة المصنعة وحالة البطارية وما إلى ذلك، كل 30 ثانية، ويرسلها إلى خادم التحكم، ويدعم (ActionSpy) مجموعة من الوحدات، من ضمنها الوحدات التي تسمح له بجمع موقع الجهاز ومعلومات الاتصال وسجلات المكالمات ورسائل (SMS).

ويحتوي برنامج التجسس أيضًا على إمكانيات لجعل الجهاز يتصل بالشبكة اللاسلكية أو قطع الاتصال بها، والتقاط الصور بالكاميرا، واخذ لقطات شاشة للجهاز، والحصول على سجلات الدردشة من تطبيقات المراسلة، مثل واتساب و (QQ) و (WeChat) و (Viber).

كما يطالب (ActionSpy) المستخدمين بتشغيل خدمة إمكانية الوصول (Android Accessibility)، مدعيًا أنها خدمة تنظيف البيانات المهملة، وبمجرد تمكين المستخدم لخدمة إمكانية الوصول، فإنه يمنح برنامج التجسس القدرة على تحليل النشاط الحالي للضحايا واستخراج المعلومات، مثل الأسماء المستعارة ومحتويات الدردشة ووقت الدردشة.

ويعتقد الباحثون أن مواقع الويب تم تصميمها بواسطة مجموعة تسمى (Earth Empusa)، المعروفة أيضًا باسم (Evil Eye) و (POISON CARP)، ويستند هذا إلى حقيقة أن أحد النصوص الخبيثة التي تم حقنها في الصفحة تمت استضافته على نطاق ينتمي إلى المجموعة.

وارتبط سابقًا اسم مجموعة (Earth Empusa) بالهجمات الإلكترونية التي تستهدف كبار أعضاء الجماعات التبتية، وقال الباحثون: إنهم وجدوا بعض صفحات الويب الإخبارية، التي يبدو أنها مستنسخة من مواقع إخبارية ذات صلة بالأويغور، تم استضافتها على خادم (Earth Empusa) في شهر مارس 2020، ويحذر الباحثون من أن (Earth Empusa) لا تزال نشطة جدًا.

مشاركة الخبر: ActionSpy .. برمجية أندرويد ضارة تستهدف الأويغور على وسائل التواصل