كشفت دراسة جديدة قام بها باحثو الأمن السيبراني عن حملة تجسس استمرت لمدة عام ضد الهواتف المحمولة للمجموعة العرقية الكردية، بهدف زرع بابين خلفيين خبيثين يعملان بنظام اندرويد Android ويتنكران على أنهما تطبيقات شرعية.

تفيد الدراسة بأن الهجمات كانت ناشطة منذ آذار / مارس 2020 على الأقل. واستفادت من ما يصل إلى ستة حسابات على منصة فيسبوك Facebook زعمت أنها تقدم محتوى تقني ومؤيد للأكراد.

حسابان اثنان كانا مخصصان لاستهداف مستخدمي أندرويد، فيما يبدو أن الحسابات الأربعة الأخرى كانت تقدم أخباراً داعمة للأكراد ولكن فقط بهدف مشاركة الروابط الخبيثة التي تؤدي إلى تطبيقات التجسس. هذا وتم استخدام المجموعات العامة groups أيضاً للهدف نفسه.

وأوضح أحد الباحثين الأمنيين في ESET، لوكاس ستيفانكو، أنه تم استهداف المجموعة العرقية الكردية بما لا يقل عن 28 منشوراً خبيثاً على فيسبوك، من شأنها أن تقود الضحايا المحتملين إلى تنزيل Android 888 RAT أو SpyNote. معظم المنشورات الخبيثة أدت إلى تنزيل الموقع التجاري 888 RATعلى أجهزة أندرويد، وهو كان متاحاً في السوق السوداء منذ عام 2018.

كما قامت شركة الأمن السيبراني ESET بملاحقة مصدر الهجمات لمعرفة من يقف وراءها. وأفادت نتائج الدراسة بتحميل مسؤولية حملة التجسس إلى مجموعة أشارت إليها باسم BladeHawk.

 

حملة تجسس كبيرة ضد الأكراد عبر فيسبوك!

في إحدى الحالات على سبيل المثال، شارك المهاجمون منشوراً على فيسبوك يحث المستخدمين على تنزيل تطبيق snapchat جديد مصمم في الكواليس لحفظ بيانات اعتماد Snapchat عبر موقع ويب مخصص للتصيد الاحتيالي.

تم تحديد 28 منشوراً محتالاً على فيسبوك كجزء من هذه العملية، قاموا بعرض أوصاف مزيفة للتطبيقات الخبيثة لحث المستخدمين على تنزيل التطبيق على هواتف أندرويد من خلال الضغط على روابط خبيثة. وتشير الدراسة إلى أنه تم تنزيل تطبيقات التجسس 1481 مرة بين 20 يوليو 2020 و28 يونيو 2021، في هذه الحالة فقط.

وبغض النظر عن التطبيق المثبت على الهواتف المحمولة، سيؤدي أي تنزيل إلى نشر سلسلة عدوى 888 RAT. حصان طروادة هذا مجهز بإمكان تشغيل 42 أمراً مستلماً من خادم القيادة والتحكم المركز. تتضمن بعض وظائفه البارزة:

– القدرة على سرقة وحذف الملفات من جهاز الهاتف المحمول، أو أي جهاز آخر.

– جمع صور المستخدم وسرقة الرسائل القصيرة وقوائم جهات الاتصال.

– التقاط الصور وتسجيل الصوت المحيط والمكالمات الهاتفية من دون علم الضحية.

– القدرة على إجراء المكالمات وإرسال الرسائل النصية.

– التقاط لقطات شاشة screenshots من دون علم صاحب الجهاز.

– رصد موقع الجهاز وتجميع المعلومات الخاصة بأماكن التنقل.

– تغيير بيانات الاعتماد المطلوبة للدخول إلى فيسبوك.

– الحصول على قائمة بالتطبيقات المثبتة على الهاتف او الجهاز.

تجدر الإشارة إلى أنه تم ربط نشاط التجسس هذا مباشرة بحادثتين أخريين ظهرتا للضوء في عام 2020، بعد إفصاح عام قامت به شركة خدمات الأمن السيبراني الصينية QiAnXin والذي قام بتفصيل طريقة عمل هجوم BladeHawk . ويبدو أن الاستراتيجية كانت نفسها في جميع الهجمات، أي تداخل في استخدام خوادم القيادة والتحكم 888 RAT والاعتماد على فيسبوك لتوزيع البرمجيات الخبيثة.