اكتشف باحثو الأمن السيبراني في شركة ESET، حملتين نشطتين تستهدفان مستخدمي أندرويد بمجموعة من التطبيقات المزيفة المحملة ببرامج التجسس ونشرها مستغلة شهرة تطبيقات المراسلة الفورية تيليجرام وسيجنال.
وبحسب ما ذكره موقع “securitybrief”، أوضح فريق “ESET”، أن الهجمات الجديدة تنشنها مجموعة القراصنة الصينية APT، أصابت أجهزة أندرويد عبر تطبيقات مزيفة تحمل أسماء تيليجرام وسيجنال مزودة ببرمجية تجسس تدعى BadBazaar.
تطبيقات أندرويد مزيفة مزودة ببرمجية تجسس
وقال فريق “ESET”، إن الحملة الضارة الأولى نشطة منذ يوليو 2020، حيث قامت مجموعة القراصنة الصينية بنشر وتوزيع برمجيتها الضارة عبر متاجر تطبيقات أندرويد الشهيرة Google Play، و Galaxy Store التابع لشركة سامسونج.
وذلك إلى جانب نشر حملة أخرى نشطة منذ شهر يوليو 2022، على مواقع الويب المخصصة التي تتظاهر بأنها تطبيقات دردشة مشفرة مشروعة، من خلال تطبيقات ضارة تحت مسمي FlyGram وSignal Plus Messenger.
وحققت الجهات الفاعلة التي تقف خلف تلك الهجمات الوظائف الموجودة في تطبيقات تيليجرام وسيجنال المزيفة عن طريق تصحيح تطبيقات تيليجرام وسيجنال مفتوحة المصدر لنظام أندرويد باستخدام تعليمات برمجية ضارة.
وقد نشرت مجموعة القراصنة النسخ المزيفة التي تحاكي تطبيقات تيليجرام وسيجنال، وطرحتها في متجر جوجل بلاي من أجل خداع المستخدمين بأن تلك الإصدارات تتيح مزايا إضافية على غرار ما تطبيقات واتساب المعدلة.
برنامج حبيث يستهدف أندرويد
وتعد برمجية التجسس BadBazaar، عبارة عن كود برمجي خبيث جرى اكتشافه أول مرة في نوفمبر من عام 2022، والتي تم استخدامها لاستهداف مجتمع الإيغور في الصين.
وتعمل تلك البرمجية الضارة على سرقة البيانات الحساسة من أجهزة المستخدمين، ويشمل ذلك سجلات المكالمات والرسائل النصية القصيرة والمواقع الجغرافية وغيرها، بالإضافة إلى سرقة البيانات من تطبيقي سيجنال وتيليجرام الأصليين مثل رمز التحقق PIN والنسخ الاحتياطية للمحادثات.
ويعد تطبيق Signal Plus Messenger أول حالة موثقة للتجسس على مستخدمي سيجنال المشفر؛ حيث قام الآلاف من المستخدمين بتنزيل تطبيقات التجسس.
وأبلغ فريق ESET عن اكتشاف البرمجية الضارة على أجهزة أندرويد في العديد من دول الاتحاد الأوروبي والولايات المتحدة وأوكرانيا وأماكن أخرى حول العالم. تمت إزالة كلا التطبيقين لاحقا من متجر Google Play.