كاسبرسكي لاب تكتشف "تريادا" الذي يستهدف الأجهزة المتنقلة التي تعمل بنظام أندرويد

أثبت تعقيد آلية عمل حصان طروادة "تريادا" حقيقة أن هنالك مجرمون الكترونيون محترفون للغاية.

  • E-Mail
 كاسبرسكي لاب تكتشف
 أسيد كالو بقلم  March 3, 2016 منشورة في 

اكتشف خبراء لدى كاسبرسكي لاب تريادا (Triada) وهو حصان طروداة جديد يستهدف الأجهزة التي تعمل بنظام اندرويد.

وبالإمكان مقارنته بالبرامج الخثبية التي تعمل في بيئة ويندوز من ناحية تعقيده. وهو سري ومركب ودائم وقد ابتكره محترفو الجرائم الإلكترونية. وتعد الأجهزة العاملة بنظام التشغيل اندرويد ذات الإصدار 4.4.4 والإصدار الأسبق أكثر عرضة لهذا الخطر.

ووفقاً لآخر بحث أجرته كاسبرسكي لاب حول علم فيروسات الأجهزة المحمولة، تبين أن نصف أحصنة طروادة العشرين الأوائل في العام 2015 هي برامج خبيثة قادرة على الحصول على حقوق دخول استثنائية لحسابات المستخدمين. وتمنح الامتيازات الاستثنائية لحسابات المستخدمين المجرمين الالكترونيين حقوق تثبيت التطبيقات على الأجهزة المتحركة بدون معرفة المستخدم. 

يتكاثر هذا النوع من البرامج الخبيثة عن طريق التطبيقات التي يحملها/ يثبتها المستخدمون من المصادر غير الموثوقة. وبالإمكان العثور على هذه التطبيقات في المتجر الرئيسي للتطبيقات غوغل بلاي، حيث تُخفي هيئتها على شكل لعبة أو تطبيق ترفيهي. ومن الممكن أيضاً تثبيتها أثناء تحديث أي طبيقات مشهورة موجودة فعلياً، وقد تكون مسبقة التثبيت في بعض الحالات على الجهاز المحمول. وتعد الأجهزة العاملة بنظام التشغيل اندرويد ذو الإصدار 4.4.4 والإصدارات الأسبق أكثر عرضة لهذا الخطر. 

هنالك إحدى عشرة عائلة معروفة من أحصنة طروادة للهواتف المحمولة التي تستعمل الامتيازات على مستوى الجذور. ثلاثة منها (Ztorg وGorpo وLeech) تعمل بشكل تشاركي. وعادةً ما تنظم الأجهزة المصابة بأحصنة الطروادة هذه أنفسها ضمن شبكة، لذا تعمل على إنشاء نوع من الشبكات الدعائية (بوت نت) التي يُمكن أن يستعملها مسببو التهديدات لتثبيت أنوع مختلفة من البرامج الدعائية.

وبعد فترة قصيرة من تثبيت جذورها في الجهاز، تقوم أحصنة طروادة المذكورة أعلاه بتحميل وتثبيت باب سري للدخول إلى الجهاز، ثم يعمل على ت

حميل وتفعيل نموذجين اثنين قادرين على تحميل وتثبيت وتشغيل التطبيقات.

وتعود برامج تحميل التطبيقات وأدوات التثبيت إلى انواع مختلفة من أحصنة طروادة، لكنها أضيفت جميعاً إلى قاعدة بيانات الفيروسات لدينا باسم موحد وهو "تريادا". 

ومن بين إحدى ميزات البرنامج الخثبيت "Zugote" والذي يعد عنصراً أساسي في عمل التطبيق على جهاز الاندرويد - هو انه يحتوي على مكتبات النظام وأطر العمل المستعملة في كل تطبيق مثبت على الجهاز. بكلمات أخرى، يهدف هذا البرنامج الخبيث إلى إطلاق تطبيقات بنظام اندرويد. وعملية التطبيق القياسية هذه تعمل مع تطبيق مثبت حديثاً، وهذا يعني أنه حالما يدخل حصان طروادة إلى النظام، فإنه يصبح جزءاً من عملية التطبيق، ويتم تثبيته مسبقاً ضمن أي تطبيق يتم إطلاقه على الجهاز، وبإمكانه أن يغير الطريقة المنطقية لعمليات التطبيق أيضاً.

كما تعد قدرات السرقة لهذا البرنامج الخبيث متطورة جداً. فبعد أن يدخل إلى جهاز المستخدم، يعمل "تريادا" في كل عملية فعالة تقريباً ويظل موجوداً في الذاكرة قصيرة الأجل. وهذا يجعل من اكتشافه أمراً شبه مستحيل، فهو يعمل أيضاً على حذف الحلول المضادة للبرامج الخبيثة.  كما أنه يعمل بصمت، أي أن كافة النشاطات الخبيثة مخفية بالنسبة للمستخدم والتطبيقات الأخرى.

أثبت تعقيد آلية عمل حصان طروادة "تريادا" حقيقة أن هنالك مجرمون الكترونيون محترفون للغاية ولديهم فهم معمق لمنصة عمل الاجهزة المحمولة المستهدفة وهم وراء هذا البرنامج الخبيث.  

وبإمكان حصان طروادة "تريادا" تعديل الرسائل النصية الصادرة المرسلة بواسطة التطبيقات الأخرى، وهي إحدى الوظائف الأساسية لهذا البرنامج الخبيث.  فعندما يجري المستخدم مشتريات بواسطة تطبيق عبر الرسائل النصية لأي ألعاب بنظام اندرويد، فمن المرجح أن يُعدل المحتالون الرسالة النصية الصادرة لكي يستلموا المال عوضاً عن مطور اللعبة.

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code