رصد SparkKitty: حصان طروادة جديد للتجسس على App Store وGoogle Play

رصد خبراء كاسبرسكي برنامج حصان طروادة جديد للتجسس باسم SparkKitty يستهدف هواتف تعمل بنظام تشغيل iOS و Android. يقوم هذا البرنامج الخبيث بإرسال الصور والمعلومات المتعلقة بالجهاز من الهاتف المصاب إلى المهاجمين. وتم دمج هذا البرنامج في تطبيقات العملات المشفرة والمراهنات، وفي نسخة مخترقة من تيك توك، ونُشر عبر متجري App Store و Google Play والمواقع الإلكترونية الاحتيالية. يعتقد الخبراء أن المهاجمين يستهدفون سرقة أصول العملات المشفرة من مواطني جنوب شرق آسيا والصين. كما يواجه المستخدمين في مصر أيضاً خطر التعرض لتهديد سيبراني مشابه.

من جانبها، نبّهت كاسبرسكي كلاً من جوجل وآبل بشأن التطبيق الخبيث. وتوحي بعض التفاصيل التقنية على ارتباط حملة البرمجيات الخبيثة الجديدة ببرنامج حصان طروادة SparkCat -الذي رُصد سابقاً - وهو برنامج خبيث (لم يسبق له مثيل على iOS) يحتوي على نظام تعرّف بصري على النصوص (OCR) يمكنه فحص معارض الصور وسرقة لقطات الشاشة التي تتضمن عبارات استرجاع محافظ العملات المشفرة أو كلمات المرور. ويمثل تطبيق SparkKitty الحالة الثانية خلال عام التي يكتشف فيها خبراء كاسبرسكي برنامج حصان طروادة مُخصص للسرقة في متجر App Store، عقب SparkCat.

iOS

تنكر البرنامج في متجر App Store على هيئة تطبيق للعملات المشفرة – coin 币. ونُشر البرنامج الخبيث عبر مواقع تصيد احتيالي تحاكي متجر App Store الرسمي الخاص بالايفون ، متخفياً في صورة تطبيقات مثل تيك توك وتطبيقات المراهنات.

يوضّح سيرجي بوزان، خبير البرمجيات الخبيثة في كاسبرسكي: «اتضح أن إحدى طرق نشر برنامج حصان طروادة كانت عبر مواقع مزيفة حيث سعى المهاجمون لإصابة أجهزة آيفون الخاصة بالضحايا. ويوفر نظام iOS عدة طرقة مشروعة لتثبيت البرامج من خارج متجر App Store. استغل المهاجمون في حملتهم الخبيثة إحدى هذه الوسائل - وهي أدوات المطورين المخصصة لتوزيع تطبيقات الشركات. في النسخة المخترقة من تيك توك، خلال تسجيل الدخول، قامت البرمجية الخبيثة بسرقة الصور من ألبوم الهاتف، كما أدرجت روابط لمتجر مريب في صفحة الملف الشخصي للمستخدم. وما يزيد من شكوكنا، أن هذا المتجر لا يقبل سوى العملات المشفرة.»

Android

سعى المهاجمون لاستهداف المستخدمين عبر مواقع الطرف الثالث ومتجر Google Play، حيث قدّموا البرنامج الخبيث في صورة خدمات مختلفة للعملات المشفرة. من الأمثلة على أحد التطبيقات المصابة، تطبيق SOEX للمراسلة، والذي يتيح تبادل العملات المشفرة، حيث تم تنزيله من المتجر الرسمي أكثر من عشرة آلاف مرة.

وجد الخبراء أيضاً ملفات APK للتطبيقات المصابة (القابلة للتثبيت المباشر على هواتف Android متجاوزة المتاجر الرسمية) على مواقع طرف ثالث يُعتقد أنها مرتبطة بالحملة الخبيثة المرصودة. يتم تسويقها كمشاريع استثمار في العملات المشفرة. جرى الترويج للمواقع التي استضافت هذه التطبيقات عبر منصات التواصل الاجتماعي، وخاصة يوتيوب.

يعلّق دميتري كالينين، خبير البرمجيات الخبيثة لدى كاسبرسكي: « أدت التطبيقات وظائفها تماماً كما جاء في وصفها بعد إتمام تثبيتها على الجهاز. غير أنها كانت، في الوقت ذاته، ترسل صور معرض الهاتف إلى المهاجمين. يبحث المهاجمون فيما بعد عن معلومات سرية متنوعة في الصور، كعبارات استرجاع محافظ العملات المشفرة، للوصول إلى أصول الضحايا. وتوجد مؤشرات غير مباشرة على استهداف المهاجمين للأصول الرقمية للمستخدمين: فمعظم التطبيقات المصابة كانت متعلقة بالعملات المشفرة، كما احتوى تطبيق تيك توك المخترق على متجر داخلي لا يقبل الدفع سوى بالعملات المشفرة.»

يتوفر تقرير مفصل عن هذا الهجوم على Securelist.com.

لتجنب الوقوع ضحية لهذه البرمجية الخبيثة، توصي كاسبرسكي باتباع الإجراءات الأمنية التالية:

• في حال قيامك بتثبيت أحد التطبيقات المصابة، يُنصح بإزالته من جهازك وتجنب استخدامه حتى صدور تحديث يُزيل الوظيفة الخبيثة.

• تجنب تخزين لقطات الشاشة التي تحتوي على معلومات حساسة في معرض الصور، بما في ذلك عبارات استعادة محفظة العملات المشفرة. يمكنك مثلاً، حفظها في تطبيقات متخصصة مثل Kaspersky Password Manager.

• يمكن لبرمجيات الأمن السيبراني الموثوقة، مثل Kaspersky Premium، أن تمنع الإصابة بالبرمجيات الخبيثة. فبسبب خصائص بنية نظام تشغيل آبل، يعرض تطبيق كاسبرسكي لنظام iOS تحذيراً للمستخدم عند رصد محاولة إرسال بيانات لخادم المهاجمين، ويحظر عملية نقل البيانات.

• عندما يطلب تطبيق ما صلاحية الوصول لألبوم صور هاتفك، تأكد من حاجته الفعلية لهذه الصلاحية.