برنامج FireScam الخبيث للأجهزة المحمولة
تم الكشف عن تهديد جديد لنظام أندرويد يسمى FireScam. وهو يتنكر في هيئة نسخة محسنة من تطبيق المراسلة Telegram. يتيح هذا التكتيك الخادع للبرنامج المهدد استخراج بيانات المستخدم الحساسة والحفاظ على الوصول عن بعد المستمر إلى الأجهزة المخترقة.
جدول المحتويات
تمويه ذكي: تطبيق Telegram Premium المزيف
يتم توزيع FireScam تحت ستار تطبيق مزيف "Telegram Premium". وينتشر من خلال موقع ويب للتصيد الاحتيالي مستضاف على GitHub.io، والذي يقدم نفسه زوراً باسم RuStore - وهو سوق تطبيقات معروف في روسيا. يصف محللو الأمن هذا التهديد المحمول بأنه معقد وقابل للتكيف بدرجة كبيرة. بمجرد تثبيته، يتبع عملية إصابة متعددة المراحل، تبدأ بملف APK الذي يسهل المراقبة المكثفة.
يقوم الموقع الاحتيالي، rustore-apk.github.io، بتقليد واجهة RuStore وهو مصمم لخداع المستخدمين لتنزيل ملف APK يسمى "GetAppsRu.apk".
دور Dropper في هجوم FireScam
بعد التثبيت، يعمل القطارة كآلية توصيل للحمولة الأساسية. هذا المكون الأساسي مسؤول عن جمع المعلومات الحساسة ونقلها—مثل الرسائل والإشعارات وبيانات التطبيق—إلى قاعدة بيانات Firebase Realtime.
ولتعزيز سيطرته، يطلب البرنامج أذونات متعددة، تتضمن الوصول إلى وحدة تخزين خارجية والقدرة على تثبيت أو تحديث أو إزالة التطبيقات على أجهزة Android التي تعمل بالإصدار 8 والإصدارات الأحدث.
من الجوانب المثيرة للقلق بشكل خاص في FireScam استغلاله لإذن ENFORCE_UPDATE_OWNERSHIP. تسمح هذه الميزة في نظام Android لمثبت التطبيق الأصلي بأن يصبح "مالك التحديث"، مما يعني أن المالك المعين فقط هو الذي يمكنه بدء التحديثات. من خلال الاستفادة من هذه الآلية، يمكن لـ FireScam حظر التحديثات المشروعة من مصادر أخرى، مما يضمن استمرار وجوده على الجهاز المصاب.
ميزات متقدمة للتهرب والمراقبة
يستخدم FireScam تقنيات التعتيم لمقاومة الكشف والتحليل. فهو يراقب بنشاط الإشعارات الواردة والتغييرات في حالة الشاشة ونشاط المستخدم ومحتوى الحافظة وحتى المعاملات عبر الإنترنت. كما أن التهديد قادر على تنزيل الصور ومعالجتها من خادم بعيد، مما يضيف طبقة أخرى إلى قدراته في المراقبة.
عند تشغيله، يطلب تطبيق Telegram Premium المزيف الإذن بالوصول إلى جهات اتصال المستخدمين وسجلات المكالمات والرسائل النصية القصيرة. ثم يعرض صفحة تسجيل دخول تعكس موقع Telegram الرسمي عبر WebView، في محاولة لالتقاط بيانات اعتماد المستخدم. ومع ذلك، يتم تشغيل عملية جمع البيانات حتى إذا لم يدخل المستخدم تفاصيل تسجيل الدخول الخاصة به.
الحفاظ على الوصول عن بعد المستمر
تتمثل إحدى الوظائف الأكثر غدرًا لبرنامج FireScam في قدرته على التسجيل للحصول على إشعارات Firebase Cloud Messaging (FCM). يتيح هذا للتهديد تلقي تعليمات عن بُعد والحفاظ على وصول سري مستمر إلى الجهاز. بالإضافة إلى ذلك، يقوم بإنشاء اتصال WebSocket مع خادم الأوامر والتحكم (C2) لتسهيل سرقة البيانات وتنفيذ المزيد من الإجراءات غير الآمنة.
المكونات الضارة الأخرى والأسئلة التي لم تتم الإجابة عليها
كما حدد الباحثون أيضًا قطعة أثرية ضارة أخرى مستضافة على نطاق التصيد الاحتيالي، يشار إليها باسم "CDEK". من المحتمل أن يشير هذا الاسم إلى خدمة روسية لتتبع الشحنات والخدمات اللوجستية، مما يشير إلى نشاط ضار أوسع نطاقًا يتجاوز FireScam وحده.
لا يزال من غير الواضح من يقف وراء هذه العملية أو كيف يتم توجيه المستخدمين إلى روابط التصيد الاحتيالي هذه. قد تتضمن التكتيكات المحتملة التصيد الاحتيالي عبر الرسائل النصية القصيرة (smishing) أو حملات الإعلانات الضارة. من خلال تقليد الخدمات المشروعة مثل RuStore، تتلاعب هذه المواقع الإلكترونية المخادعة بثقة المستخدم لإقناع الأفراد بتنزيل تطبيقات احتيالية.
إن قدرة FireScam على استخراج البيانات وإجراء المراقبة تؤكد المخاطر المرتبطة بأساليب التوزيع التي تعتمد على التصيد الاحتيالي. وتسلط هذه القضية الضوء على التحديات المستمرة في حماية مستخدمي Android من التهديدات التي تستغل الهندسة الاجتماعية والثقة في المنصات المعروفة.
