GettyImages
قال باحث من شركة ESET الأمنية إن أحد التطبيقات التي تم تنزيلها أكثر من 50000 من Google Play سجل خلسة صوتًا قريبًا كل 15 دقيقة وأرسله إلى مطور التطبيق.
قال لوكاس ستيفانكو الباحث في ESET في منشور نُشر يوم الثلاثاء إن التطبيق ، الذي يحمل عنوان iRecorder Screen Recorder ، بدأ تشغيله على Google Play في سبتمبر 2021 كتطبيق حميد سمح للمستخدمين بتسجيل شاشات أجهزتهم التي تعمل بنظام Android. بعد أحد عشر شهرًا ، تم تحديث التطبيق الشرعي لإضافة وظائف جديدة تمامًا. تضمنت القدرة على تشغيل ميكروفون الجهاز عن بعد وتسجيل الصوت ، والاتصال بخادم يتحكم فيه المهاجم ، وتحميل الصوت والملفات الحساسة الأخرى التي تم تخزينها على الجهاز.
تسجيل سري كل 15 دقيقة
تم تنفيذ وظائف التجسس السرية باستخدام كود من AhMyth ، وهو برنامج RAT مفتوح المصدر (وصول عن بعد إلى حصان طروادة) تم دمجه في العديد من تطبيقات Android الأخرى في السنوات الأخيرة. بمجرد إضافة RAT إلى iRecorder ، تلقى جميع مستخدمي التطبيق الحميد سابقًا تحديثات سمحت لهواتفهم بتسجيل الصوت القريب وإرساله إلى خادم معين من قبل المطور عبر قناة مشفرة. مع مرور الوقت ، تم تعديل الكود المأخوذ من AhMyth بشكل كبير ، مما يشير إلى أن المطور أصبح أكثر مهارة مع RAT مفتوح المصدر. قامت ESET بتسمية RAT المعدلة حديثًا في iRecorder AhRat.
قام Stefanko بتثبيت التطبيق مرارًا وتكرارًا على الأجهزة في معمله ، وفي كل مرة كانت النتيجة واحدة: تلقى التطبيق تعليمات لتسجيل دقيقة واحدة من الصوت وإرساله إلى خادم الأوامر والتحكم الخاص بالمهاجم ، والمعروف أيضًا بالعامية في مجال الأمان . الدوائر كـ C & C أو C2. من الآن فصاعدًا ، سيتلقى التطبيق نفس التعليمات كل 15 دقيقة إلى أجل غير مسمى. في بريد إلكتروني كتب:
أثناء تحليلي ، كان AhRat قادرًا بنشاط على إخراج البيانات وتسجيل الميكروفون (في بضع مرات أزلت التطبيق وأعدت تثبيته ، وكان التطبيق دائمًا يتصرف بنفس الطريقة).
يتم تمكين استخراج البيانات بناءً على الأوامر الموجودة في [a] تم إرجاع ملف التكوين من [the] نسخة. أثناء تحليلي ، كان ملف التكوين دائمًا يعيد الأمر لتسجيل الصوت مما يعني [it] تشغيل الميكروفون والتقاط الصوت وإرساله إلى C2.
لقد حدث ذلك باستمرار في حالتي ، لأنه كان مشروطًا بالأوامر التي تم تلقيها في ملف التكوين. تم استلام التكوين كل 15 دقيقة وتعيين مدة التسجيل على دقيقة واحدة. أثناء التحليل ، تلقى جهازي دائمًا أوامر لتسجيل صوت الميكروفون وإرساله إلى C2. حدث ذلك 3-4 مرات ، ثم أوقفت البرامج الضارة.
البرامج الضارة الموجودة في التطبيقات المتوفرة على خوادم Google ليست جديدة. لا تعلق Google عند اكتشاف برامج ضارة على نظامها الأساسي بخلاف شكر الباحثين الخارجيين الذين عثروا عليها والقول إن الشركة تزيل البرامج الضارة بمجرد علمها بها. لم تشرح الشركة أبدًا الأسباب التي تجعل باحثيها وعملية المسح الآلي يفوتون التطبيقات الضارة التي اكتشفها الغرباء. كانت Google أيضًا مترددة في إخطار مستخدمي Play بشكل نشط بمجرد أن تعلم أنهم أصيبوا بالتطبيقات التي يتم الترويج لها وإتاحتها من خلال خدمتها الخاصة.
الأمر الأكثر غرابة في هذه الحالة هو اكتشاف تطبيق ضار يسجل بنشاط مثل هذه القاعدة العريضة من الضحايا ويرسل صوتهم إلى المهاجمين. قال ستيفانكو إنه من المحتمل أن يكون iRecord جزءًا من حملة تجسس نشطة ، لكن حتى الآن ، لم يتمكن من تحديد ما إذا كان هذا هو الحال.
“للأسف ، ليس لدينا أي دليل على أن التطبيق قد تم دفعه إلى مجموعة معينة من الأشخاص ، ومن وصف التطبيق والبحث الإضافي (ناقل توزيع التطبيق المحتمل) ، ليس من الواضح ما إذا كانت مجموعة معينة من الأشخاص مستهدفة أم لا. “يبدو الأمر غير عادي للغاية ، لكن ليس لدينا دليل نقول خلاف ذلك.”
تمنح RATs للمهاجمين بابًا خلفيًا سريًا على الأنظمة الأساسية المصابة حتى يتمكنوا من الاستمرار في تثبيت التطبيقات أو إلغاء تثبيتها أو سرقة جهات الاتصال أو الرسائل أو بيانات المستخدم ومراقبة الأجهزة في الوقت الفعلي. AhRat ليس أول Android RAT يستخدم كود مفتوح المصدر من AhMyth. في عام 2019 ، أفاد ستيفانكو بالعثور على قناة RAT التي نفذتها AhMyth في Radio Balouch ، وهو تطبيق إذاعي متدفق يعمل بكامل طاقته لعشاق موسيقى Balochi ، والتي تنحدر من جنوب شرق إيران. كان لهذا التطبيق قاعدة تثبيت أصغر بكثير من مستخدمي Google Play الذين يزيد عددهم عن 100 فقط.
استخدمت مجموعة تهديدات غزيرة النشاط منذ عام 2013 على الأقل تطبيق AhMyth لتطبيقات Android الخلفية التي استهدفت الأفراد العسكريين والحكوميين في الهند. ليس هناك ما يشير إلى أن مجموعة التهديد – التي تتبعها الباحثون تحت أسماء Transparent Tribe و APT36 و Mythic Leopard و ProjectM و Operation C-Major – قد نشرت التطبيق من خلال Google Play ، ولا يزال ناقل العدوى غير واضح.
