كشف نسخة جديدة من برمجية SparkCat تستطيع تجاوز إجراءات الحماية في متجري App Store وGoogle Play

رصدت شركة كاسبرسكي نسخة جديدة من برمجية حصان طروادة SparkCat في متجري التطبيقات App Store وGoogle Play، وذلك بعد عام من اكتشاف هذه البرمجية الخبيثة المصممة لسرقة العملات المشفرة وإزالتها من كلتا المنصتين. تتخفى هذه البرمجية داخل تطبيقات تبدو شرعية، وتتفحّصُ معارض الصور عند المستخدمين بحثاً عن عبارات استرداد محافظ العملات الرقمية المشفرة.

تنتشر النسخة الجديدة من برمجية SparkCat الخبيثة عبر تطبيقات شرعية مصابة بها مثل تطبيقات مراسلة مخصصة للمؤسسات وتطبيق لتوصيل الطعام. وعثر خبراء كاسبرسكي على تطبيقين مصابين بهذه البرمجية في متجر App Store وتطبيق واحد مصاب في متجر Google Play، وقد جرى لاحقاً إزالة النص البرمجي الخبيث منها. وتشير بيانات كاسبرسكي إلى أنّ التطبيقات المصابة ببرمجية SparkCat يتم نشرها وتوزيعها عبر مصادر خارجية. وتبدو بعض الصفحات الإلكترونية التي توزع التطبيقات المصابة مشابهةً لمتجر App Store عند فتحها من هاتف آيفون.

تتفحّص النسخة المحدثة من برمجية حصان طروادة (SparkCat) معارض الصور في الأجهزة المخترقة بحثاً عن صور لقطات الشاشة التي تحتوي على كلمات مفتاحية معينة باللغات اليابانية والكورية والصينية، مما دفع خبراء كاسبرسكي إلى الترجيح بأنّ هذه الحملة تستهدف أساساً أصول العملات المشفرة للمستخدمين في آسيا. ومع ذلك، يبدو أن نسخة البرمجية لنظام iOS تتبع نهجاً مغايراً؛ إذ تبحث عن العبارات التذكيرية لمحافظ العملات الرقمية المشفرة، التي تكون باللغة الإنجليزية. لذلك، تكون نسخة البرمجية لنظام iOS أوسع انتشاراً، وتستطيع إصابة أجهزة المستخدمين بغض النظر عن مكان وجودهم ومنطقتهم.

تتميز نسخة برمجية SparkCat المحدّثة لنظام أندرويد بوجود طبقات تمويه متعددة مقارنة بالإصدارات السابقة مثل: تعتيم النص البرمجي بالمحاكاة الافتراضية، واستخدام لغات برمجة متعددة المنصات، وهي تقنيات يندر وجودها في البرمجيات الخبيثة التي تستهدف الأجهزة المحمولة.

وقد أبلغت كاسبرسكي شركتي جوجل وApple عن التطبيقات الخبيثة التي اكتشفتها.

النسخة المصابة من التطبيق لنظام iOS

يعلق على هذه المسألة سيرجي بوزان، خبير الأمن السيبراني في كاسبرسكي: «تطلب النسخة المحدّثة من SparkCat الوصول إلى معرض الصور في الهاتف الذكي في حالات معينة، تماماً كما فعلت النسخة الأولى من برمجية طروادة الخبيثة هذه. وتحلل النصوص الموجودة في الصور المخزنة باستخدام وحدة التعرف البصري على الحروف. وإذا عثرت برمجية السرقة هذه على كلمات مفتاحية معينة ذات صلة، فإنّها ترسل الصور إلى المهاجمين. وبالنظر إلى أوجه التشابه بين العينة الحالية والسابقة، نظن أن مطوري النسخة الحديثة من هذه البرمجية هم أنفسهم المطورون السابقون. وتؤكد هذه الحملة مجدداً على أهمية استخدام حلول الأمان للهواتف الذكية للحماية من مجموعة واسعة من التهديدات السيبرانية.»

ويضيف ديمتري كالينين، خبير الأمن السيبراني في كاسبرسكي: «تعد برمجية SparkCat الخبيثة تهديداً متطوراً يستهدف الأجهزة المحمولة. وتعمل جهة التهديد المطورة لهذه البرمجية على زيادة مستوى التعقيد في تقنيات تجاوز التحليل الأمني، مما يتيح لها تفادي عمليات المراجعة الأمنية التي تنفذها متاجر التطبيقات الرسمية. كما تعد الأساليب التي يستخدمها مطورو برمجية SparkCat، مثل تعتيم النص البرمجي بالمحاكاة الافتراضية، واستخدام لغات متعددة المنصات، نادرة في البرمجيات الخبيثة التي تستهدف الأجهزة المحمولة. ويدلّ ذلك على المهارة العالية لدى تلك الجهة.»

تجنباً لإصابة جهازك بهذه البرمجية الخبيثة، توصي كاسبرسكي باتباع الإجراءات الوقائية التالية:

استخدم برنامجاً أمنياً موثوقاً مثل Kaspersky for Mobile، الذي يحمي بياناتك في الهواتف الذكية من الهجمات السيبرانية. فيمنع برنامج كاسبرسكي لنظام الأندرويد تثبيت البرمجية الخبيثة، فيما يمنع برنامج كاسبرسكي لنظام iOS، وفقاً لخصائص نظام التشغيل التابع لشركة Apple، أي محاولة للاتصال بخادم التحكم والسيطرة لدى المهاجمين، ويظهر رسالة تنبيه للمستخدمين.

تجنب حفظ صور لقطات الشاشة التي تحتوي على معلومات حساسة في معرض الصور، لا سيما تلك التي تحتوي على عبارات استرداد محافظ العملات الرقمية. ويُنصح بتخزين هذه المعلومات الحساسة، فضلاً عن صور لقطات الشاشة للوثائق المهمة، في تطبيقات متخصصة مثل تطبيق Kaspersky Password Manager.

توخَّ الحذر حتى عند تنزيل التطبيقات من المتاجر الرسمية، فقد لا تكون آمنة على الدوام.