تم رصد هجوم الكتروني جديد على مستخدمي الانترنت في سوريا يقوم بنشر فيروس خبيث عبر تطبيقات أندرويد الخاصة بالحكومة الإلكترونية السورية. الهجوم الذي يقف خلفه أحد القراصنة الفاعلين في مجموعة APT StrongPity المعروفة عالمياً، يشير إلى تقنية تكنولوجية متطورة مصممة لاختراق أجهزة الضحايا.
وأكد باحثون أمنيون، في تقرير فني تم نشره مؤخراً على Trend Micro، أنه “بحسب علمنا، هذه هي المرة الأولى التي يتم فيها رصد عمل المجموعة بشكل علني وهي تقوم باستخدام تطبيقات Android الضارة، كجزء من هجماتها الالكترونية”.
من هي مجموعة StrongPity؟
يُعتقد أن StrongPity، التي أطلقت عليها مايكروسوفت أيضاً اسم Promethium، هي مجموعة ناشطة منذ عام 2012 وعادة ما تكون معظم أهدافها في تركيا وسوريا. في يونيو 2020، ارتبط اسم مجموعة القرصنة هذه بموجة من الأنشطة الالكترونية الخبيثة التي اعتمدت على استغلال الثغرات الأمنية والتلاعب بتثبيت التطبيقات الشعبية والمشروعة، بهدف إصابة الأهداف ببرامج ضارة.
من جهتها، أوضحت شركة Cisco Talos العام الماضي أن “Promethium كانت مرنة على مر السنين. لقد تم كشف هجماتها الالكترونية مرات عدة، لكن ذلك لم يكن كافيا لجعل الجهات الخبيثة التي تقف وراءها بالتوقف عن العمل. وحقيقة أن هذه الجماعة لا تمتنع حتى الآن عن إطلاق حملات جديدة، حتى بعد الكشف عنها، تُظهر عزمها على إنجاز مهماتها”.
ولا تختلف العملية الأخيرة التي قاموا بها كثيراً عن سابقاتها، بحيث تؤكد نزعة القراصنة نحو إعادة التلاعب بحزم التطبيقات على أندرويد بهدف زرع أحصنة طروادة القادرة على تسهيل الهجمات.
استهداف تطبيق الحكومة الإلكترونية السورية
يُقال إن البرنامج الضار الذي تم إنشاؤه في مايو 2021، يتنكر بصورة تطبيق الحكومة الإلكترونية السورية العامل بنظام أندرويد. هو يقوم بتعديل ملف بيان التطبيق (“AndroidManifest.xml”) لطلب الحصول على أذونات إضافية من مستخدمي الهاتف المحمول، بما في ذلك القدرة على قراءة جهات الاتصال، والوصول إلى وحدة التخزين الخارجية، وإبقاء الجهاز مستيقظاً، والوصول إلى معلومات الشبكات الخلوية وبيانات شبكات الـ Wi-Fi، ورصد الموقع بدقة، وحتى السماح للتطبيق ببدء تشغيل نفسه بمجرد إعادة تشغيل الهاتف بعد إطفاءه.
بالإضافة إلى ذلك، تم تصميم التطبيق الضار لأداء مهام طويلة الأمد في الخلفية من دون علم الضحية، ولتشغيل طلب التحكم عن بعد من خادم (C2) بما يسمح للبرامج الضارة بتغيير سلوكها وتحديث نفسها عند الحاجة.
هذا ويمتلك التطبيق الضار أيضاً القدرة على نقل البيانات المخزنة من الجهاز المصاب إلى الخادم، مثل جهات الاتصال ومستندات Word و Excel وملفات PDF والصور ومفاتيح الأمان والملفات المحفوظة وأمور كثيرة أخرى.
وقال الباحثون الأمنيون: “نعتقد أن المهاجمين يستكشفون طرقاً متعددة لإيصال التطبيقات الضارة إلى الضحايا المحتملين، مثل استخدام الروابط المزيفة ومواقع الويب المخترقة لخداع المستخدمين على تثبيت هذه التطبيقات”.
وأضافوا: “عادةً ما تطلب مواقع الويب من مستخدميها تنزيل التطبيقات مباشرة على أجهزتهم. للقيام بذلك، سيُطلب من هؤلاء تمكين قدرة تثبيت التطبيقات من مصادر غير معروفة على أجهزتهم. هذا الأمر يسمح بتجاوز النظام الأمني الخاص بأندرويد ويُسهل على المهاجم إرسال مكونات ضارة إضافية إلى الضحايا”.