يستخدم المهاجمون برنامج تجسس جديد ضد أجهزة Android الخاصة بالمؤسسات، يُطلق عليه اسم RatMilad ويتنكر في شكل تطبيق مفيد للالتفاف على قيود الإنترنت في بعض البلدان.
وفي الوقت الحالي، تعمل الحملة في الشرق الأوسط في إطار جهد واسع لجمع المعلومات الشخصية ومعلومات الشركات الخاصة بالضحايا، وفقًا لباحثين من Zimperium zLabs.
كشف باحثون أن النسخة الأصلية من برنامج RatMilad كانت مختبئة وراء تطبيق VPN وانتحال أرقام الهاتف المسمى Text Me. منشور مدونة تم نشره يوم الأربعاء.
من المفترض أن وظيفة التطبيق هي تمكين المستخدم من التحقق من حساب الوسائط الاجتماعية من خلال هاتفه أو هاتفها - "وهي تقنية شائعة يستخدمها مستخدمو وسائل التواصل الاجتماعي في البلدان التي قد يكون الوصول إليها مقيدًا أو قد ترغب في الحصول على حساب ثانٍ تم التحقق منه،" Zimperium zLabs كتب الباحث نيبون جوبتا في هذا المنشور.
ومع ذلك، اكتشف الباحثون مؤخرًا عينة حية من برنامج التجسس RatMilad الذي يتم توزيعه من خلال NumRent، وهو نسخة أعيدت تسميتها ومحدثة بيانيًا من Text Me، عبر قناة Telegram. أنشأ مطوروه أيضًا موقعًا إلكترونيًا للمنتج للإعلان عن التطبيق وتوزيعه، لمحاولة خداع الضحايا للاعتقاد بأنه مشروع.
وكتب غوبتا: "نعتقد أن الجهات الخبيثة المسؤولة عن RatMilad حصلت على الكود من مجموعة AppMilad ودمجته في تطبيق مزيف لتوزيعه على الضحايا المطمئنين".
وأضاف جوبتا أن المهاجمين يستخدمون قناة Telegram "لتشجيع التحميل الجانبي للتطبيق المزيف من خلال الهندسة الاجتماعية" وتمكين "أذونات مهمة" على الجهاز.
وقال الباحثون إنه بمجرد التثبيت، وبعد أن يمكّن المستخدم التطبيق من الوصول إلى خدمات متعددة، يتم تحميل تطبيق RatMilad، مما يمنح المهاجمين سيطرة كاملة تقريبًا على الجهاز. وكتب جوبتا أنه يمكنهم بعد ذلك الوصول إلى كاميرا الجهاز لالتقاط الصور وتسجيل الفيديو والصوت والحصول على مواقع GPS دقيقة وعرض الصور من الجهاز، من بين إجراءات أخرى.
RatMilad يحصل على RAT-ty: أداة قوية لسرقة البيانات
وقال الباحثون إن RatMilad، بمجرد نشره، يمكنه الوصول مثل حصان طروادة المتقدم للوصول عن بعد (RAT) الذي يتلقى وينفذ أوامر لجمع وتصفية مجموعة متنوعة من البيانات وتنفيذ مجموعة من الإجراءات الضارة.
وكتب غوبتا: "على غرار برامج التجسس المحمولة الأخرى التي رأيناها، يمكن استخدام البيانات المسروقة من هذه الأجهزة للوصول إلى أنظمة الشركات الخاصة، وابتزاز الضحية، وغير ذلك الكثير". "يمكن للجهات الخبيثة بعد ذلك كتابة ملاحظات عن الضحية، وتنزيل أي مواد مسروقة، وجمع المعلومات الاستخبارية عن الممارسات الشائنة الأخرى."
وقال الباحثون إنه من منظور تشغيلي، يقوم RatMilad بتنفيذ طلبات مختلفة إلى خادم القيادة والتحكم بناءً على معرف وظيفة معين ونوع الطلب، ثم يبقى وينتظر إلى أجل غير مسمى لتنفيذ المهام المختلفة التي يمكنه تنفيذها على الجهاز.
ومن المفارقات أن الباحثين لاحظوا في البداية برامج التجسس عندما فشلت في إصابة جهاز العميل الخاص بالمؤسسة. لقد حددوا تطبيقًا واحدًا يسلم الحمولة وشرعوا في التحقيق، حيث اكتشفوا قناة Telegram تُستخدم لتوزيع عينة RatMilad على نطاق أوسع. وقالوا إن المنشور تمت مشاهدته أكثر من 4,700 مرة مع أكثر من 200 مشاركة خارجية، وكان معظم الضحايا في الشرق الأوسط.
لم تعد تلك النسخة الخاصة من حملة RatMilad نشطة في وقت كتابة منشور المدونة، ولكن من الممكن أن تكون هناك قنوات أخرى على Telegram. والخبر السار هو أن الباحثين لم يعثروا حتى الآن على أي دليل على وجود RatMilad على متجر تطبيقات Google Play الرسمي.
معضلة برامج التجسس
وكما هو واضح من اسمها، تم تصميم برامج التجسس لتختبئ في الظل وتعمل بصمت على الأجهزة لمراقبة الضحايا دون إثارة الانتباه.
ومع ذلك، فقد انتقلت برامج التجسس نفسها من هامش استخدامها السري سابقًا إلى الاتجاه السائد، ويرجع الفضل في ذلك بشكل أساسي إلى الأخبار الرائجة التي ظهرت العام الماضي والتي تفيد بأن برنامج التجسس Pegasus طورته مجموعة NSO ومقرها إسرائيل. لقد تم استغلالها من قبل الحكومات الاستبدادية للتجسس على الصحفيين وجماعات حقوق الإنسان والسياسيين والمحامين.
وكانت أجهزة Android على وجه الخصوص عرضة لحملات برامج التجسس. كشف باحثون سوفوس المتغيرات الجديدة من برامج التجسس على Android تم ربطها بمجموعة APT في الشرق الأوسط في نوفمبر 2021. التحليل من Google TAG يشير الإصدار الذي تم إصداره في شهر مايو إلى أن ثماني حكومات على الأقل من جميع أنحاء العالم تشتري ثغرات Android Zero-Day لأغراض المراقبة السرية.
وفي الآونة الأخيرة، اكتشف الباحثون عائلة Android من برامج التجسس المعيارية على مستوى المؤسسات يطلق عليها اسم الناسك إجراء مراقبة على مواطني كازاخستان من قبل حكومتهم.
المعضلة المحيطة ببرامج التجسس هي أنه يمكن أن يكون لها استخدام مشروع من قبل الحكومات والسلطات في عمليات المراقبة الخاضعة للعقوبات لرصد النشاط الإجرامي. في الواقع، cالشركات التي تعمل حاليًا في المنطقة الرمادية لبيع برامج التجسس - بما في ذلك RCS Labs، وNSO Group، مجموعة Gamma Group لمنشئ FinFisherوتصر شركة Candiru الإسرائيلية وشركة Positive Technologies الروسية على أنها تبيعها فقط إلى وكالات الاستخبارات وإنفاذ القانون الشرعية.
ومع ذلك، فإن معظمهم يرفضون هذا الادعاء، بما في ذلك حكومة الولايات المتحدة، التي تمت الموافقة عليه مؤخرًا العديد من هذه المنظمات لمساهمتها في انتهاكات حقوق الإنسان واستهداف الصحفيين والمدافعين عن حقوق الإنسان والمعارضين والسياسيين المعارضين ورجال الأعمال وغيرهم.
عندما تحصل الحكومات الاستبدادية أو جهات التهديد على برامج تجسس، يمكن أن تصبح عملاً سيئًا للغاية بالفعل - لدرجة أنه كان هناك الكثير من الجدل حول ما يجب فعله بشأن استمرار وجود برامج التجسس وبيعها. يعتقد البعض ذلك يجب على الحكومات أن تقرر ومن يستطيع شراءه - وهو ما يمكن أن يشكل مشكلة أيضاً، اعتماداً على دوافع الحكومة لاستخدامه.
تأخذ بعض الشركات الأمر على عاتقها للمساعدة في حماية العدد المحدود من المستخدمين الذين قد تستهدفهم برامج التجسس. أعلنت شركة Apple - التي كانت أجهزتها iPhone من بين الأجهزة التي تم اختراقها في حملة Pegasus - مؤخرًا عن ميزة جديدة على كل من iOS وmacOS تسمى وضع القفل وقالت الشركة إن هذا يقوم تلقائيًا بإغلاق أي وظيفة في النظام يمكن الاستيلاء عليها حتى من خلال برامج التجسس المرتزقة الأكثر تطوراً والتي ترعاها الدولة لاختراق جهاز المستخدم.
على الرغم من كل هذه الجهود للقضاء على برامج التجسس، يبدو أن الاكتشافات الأخيرة لبرامج التجسس RatMilad وHermit تثبت أنها لم تمنع حتى الآن الجهات التهديدية من تطوير وتسليم برامج التجسس في الظل، حيث تستمر في التربص، دون أن يتم اكتشافها في كثير من الأحيان.
