كتب ابراهيم احمد
اكتشف الباحثون في شركة «إسيت» تقنية خفية للغاية ولكنها بسيطة بشكل مدهش، سمحت لبرامج أندرويدالضارة بالبقاء بعيدة عن الكشف. عند تحليل تطبيق DEFENSOR ID الذي كان متاحًا – في ذلك الوقت – على متجر تطبيقات أندرويد الرسمي، علم باحثو «إسيت» أن التطبيق يسيء استخدام خدمات إمكانية الوصول ولكن لم يكن هناك أي إذن مشبوه آخر أو لم يكن لديه أي وظائف ضارة أخرى..
يوضح “لوكاس إشتيفانكو”، الباحث في البرمجيات الخبيثة في «إسيت»، و الذي أجرى التحليل علىDEFENSOR ID: “إن خدمات إمكانية الوصول معروفة منذ فترة طويلة بأنها مزعجة لنظام التشغيل أندرويد، و تم إعداد الحلول الأمنية للكشف عن مجموعات مختلفة من الثغرات التي تسئ إستخدام هذه النقطة الضعيفة بجانب مؤشرات أخرى للسلوك الضار”.
في مواجهة البرامج الضارة التي لم تعرض أي وظائف إضافية أو أذونات مشبوهة فوق خدمات إمكانية الوصول ، فشلت جميع آليات الأمن المعروفة في تشغيل أي إنذار. ونتيجة لذلك، وصل معرف DEFENSOR ID إلى متجر “جوجل بلاي”، وبقي هناك لبضعة أشهر ولم يتم اكتشافه أبدًا من قبل أي مورد أمن مشارك في برنامج فحص الملفات والتطبيقات الضارة على VirusTotal.
وأضاف “إشتيفانكو”: ” كان هذا درسًا قيمًا بالنسبة لنا. استنادًا إلى ما تعلمناه عن معرف الدفاع، قمنا كذلك بضبط تقنيات الكشف لدينا لتغطية البرامج الضارة مثل هذا النوع الفريد ذات المقطع العرضي المنخفض للغاية “.
بصرف النظر كونه خفي، فإن DEFENSOR ID قادر على إلحاق ضرر جسيم بضحاياه. إنه ينتمي إلى فئة البرامج الخبيثة من أحصنة طروادة المصرفية وهي خبيثة بشكل استثنائي. بمجرد تثبيتها، يحتاج ضحيتها إلى اتخاذ إجراء واحد فقط لإطلاق العنان لقوتها بالكامل.
وقال “إشتيفانكو”: “بمجرد أن يقوم المستخدم بتنشيط خدمات إمكانية الوصول، يمكن لـ DEFENSOR ID أن يمهد الطريق للمهاجم لتنظيف الحساب المصرفي للضحية أو محفظة العملات المشفرة وتولي حسابات البريد الإلكتروني أو وسائل التواصل الاجتماعي وغيرها من الإجراءات الخبيثة الأخرى”.
وبعد إشعار «إسيت»، أزالت جوجل معرّف DEFENSOR ID من متجر تطبيقات أندرويد الرسمي.
وإختتم “إشتيفانكو” تصريحاته، قائلاً: “قررنا نشر نتائج تحقيقنا في هذا البرنامج الضار لمساعدة المدافعين على التأقلم مع برامج أندرويد الضارة ذات المقطع العرضي المنخفض للغاية. أصحاب هذه البرامج الضارة سيواجهون بالتأكيد نظم حماية مشددة في كل من جوجل بلاي وأجهزة المستخدمين.