كاسبرسكي Skygofree برمجية قوية ومتقدمة للتجسس على أجهزة أندرويد

اكتشف باحثون برمجية تجسس متقدمة يمكن زرعها في أجهزة الهاتف النقال الذكية، تنشط منذ العام 2014. وقال باحثو كاسبرسكي لاب إن هذه البرمجية مصممة للمراقبة الإلكترونية الموجهة، مرجّحين أن تكون منتجاً يختصّ بما أسموه “الأمن الهجومي”. وتشتمل البرمجية المسمّاة Skygofree على وظائف لم يسبق رؤيتها في مجالات استخدام عامة من قبل، مثل تسجيل الصوت في الأجهزة المصابة بناء على الموقع. ويتم نشر برمجية التجسس هذه من خلال صفحات ويب تحاكي في الشكل المواقع التابعة لمشغلي شبكات الهاتف النقال.

وتعتبر Skygofree برمجية تجسس متطورة ومتعددة المراحل تعطي المهاجمين القدرة على التحكم الكامل عن بعد بالجهاز المصاب. وقد شهدت هذه البرمجية تطوراً مستمراً منذ إنشاء النسخة الأولى منها في نهاية العام 2014، حتى أصبحت اليوم تشمل القدرة على التنصت على المحادثات والأصوات المحيطة بالجهاز المصاب عندما يدخل موقعاً محدداً، وهي ميزة لم يسبق للباحثين رؤيتها في مجالات استخدام عامة. وتشمل المزايا المتقدمة الأخرى غير المرئية اللجوء إلى الخدمات الخاصة بقدرات الوصول Accessibility لسرقة رسائل WhatsApp والقدرة على توصيل الجهاز المصاب بشبكات إنترنت لاسلكية يسيطر عليها المهاجمون.

وتحمل برمجية التجسس أدوات متعددة تمكنها من الوصول إلى جذر نظام التشغيل فضلاً عن التقاط الصور وتسجيل مقاطع الفيديو، والاستيلاء على سجلات المكالمات والرسائل القصيرة، وتحديد الموقع الجغرافي، وسرقة جدول الفعاليات في التقويم، والاطلاع على معلومات الأعمال التجارية المخزنة في ذاكرة الجهاز. وتضيف البرمجية نفسها إلى قائمة “التطبيقات المحمية” فلا يتم إيقاف عملاه تلقائياً عند إطفاء شاشة الجهاز، وهي ميزة خاصة تمكنها من الالتفاف على تقنية توفير البطارية التي يضعها المصنوعون في أجهزتهم.

وأظهر المهاجمون الذين يستخدمون هذه البرمجية اهتماماً بمستخدمي النظام “ويندوز”، إذ وجد الباحثون عدداً من الوحدات التي تم تطويرها حديثاً بقصد استهداف هذا النظام.

ووجد الباحثون أن معظم الصفحات المخادعة المستخدمة لنشر البرمجية وزرعها في أجهزة المستخدمين، تم تسجيلها في العام 2015، عندما كانت حملة التوزيع في أوج نشاطها، وفقاً لكاسبرسكي لاب. وما زالت الحملة مستمرة إذ شهدت تسجيل أحدث نطاق في شهر أكتوبر 2017. وتشير البيانات إلى وجود عدد من الضحايا جميعهم في إيطاليا.

وأشار أليكسي فيرش، محلل البرمجيات الخبيثة في قسم أبحاث الهجمات الموجهة لدى كاسبرسكي لاب، إلى صعوبة تحديد البرمجيات الخبيثة المتقدمة التي تستهدف الأجهزة النقالة وإيقافها، قائلاً إن المطورين الذين يقفون وراء Skygofree استخدموا هذه النقطة لصالحهم، فخلقوا وطوروا برمجية يمكن زرعها للتجسس واسع النطاق على أهداف محددة دون إثارة الشكوك، وأضاف: “نحن واثقون من أن الجهة المطورة لهذه البرمجية هي شركة إيطالية متخصصة بتقدم حلول المراقبة، مثل شركة “هاكينغ تيم”، وذلك نظراً للآثار التي اكتشفناها في هذه البرمجية الخبيثة وتحليلنا للبنية التحتية لها”.

وعثر الباحثون على 48 تعليمة برمجية مختلفة يمكن استغلالها من قبل مهاجمين، ما يسمح بأقصى مدىً من الاستخدام. وتوصي كاسبرسكي لاب باستخدام حل أمني موثوق به يمكنه تحديد هذه التهديدات وإيقافها عند النقاط الطرفية، مثل Kaspersky Security for Mobile، للحفاظ على الحماية من التهديدات المتقدمة للبرامج الضارة على الهواتف النقالة. كما تنصح الشركة المستخدمين بتوخي الحذر عند تلقي رسائل البريد الإلكتروني من جهات مجهولة، سواء كانت أفراداً أو شركات، أو تشتمل على طلبات أو مرفقات غير منتظرة، مشيرة إلى أهمية التحقق من صحة مواقع الويب قبل النقر على الروابط التي تؤدي إليها. وتدعو كاسبرسكي إلى التواصل مع مقدم خدمة الإنترنت للتحقق من أي أمر مثير للريبة، مُسدية النصح إلى مسؤولي النظام، بدورهم، لتشغيل وظائف التحكم بالتطبيقات الكامنة في حلولهم الأمنية التنقلية، من أجل السيطرة على أية برمجيات ضارة.

واكتشفت كاسبرسكي لاب نسخ “أندرويد” من Skygofree وهي HEUR:Trojan.AndroidOS.Skygofree.a، وHEUR:Trojan.AndroidOS.Skygofree.b ونسخ “ويندوز” مثل UDS:DangerousObject.Multi.Generic.

يذكر أن برمجية Skygofree سميت بهذا الاسم لأن الكلمة استخدمت في واحد من عناوين النطاق. وليس هناك أية صلة بين البرمجية الخبيثة بشركة Sky أو Sky Go أو أية شركة تابعة لها، ولا تؤثر على خدمات Sky Go أو تطبيقاتها.