أدوات السرقة
صورك ليست مجرد لقطات؛ لكنها مفاتيح حياتك الخاصة. ويحتوي معرض صورك على خططك المستقبلية وأسرارك المالية وصور قططك وأحيانًا حتى أشياء لن تشاركها مع أي شخص. لكن كم مرة تفكر حقًا في حماية تلك الصور؟ نأمل أنك منذ أن سمعت عن سارق SparkCat العابر للمنصات، أصبحت تفكر في هذا الأمر أكثر من المعتاد.
الآن، اكتشفنا الشقيق الأصغر لفيروس حصان طروادة ذاك، الذي أطلقنا عليه بمودة اسم SparkKitty. لكن لا تدع الاسم اللطيف يخدعك – فخلفه يكمن جاسوس يهدف، مثل شقيقه الأكبر، إلى سرقة الصور من الهواتف الذكية لضحاياه. ما الذي يجعل هذا التهديد فريدًا، ولماذا ينبغي على مستخدمي Android وiPhone على حد سواء أن ينتبهوا جيدًا؟
كيف يشق فيروس SparkKitty طريقه إلى الأجهزة
ينتشر هذا السارق بطريقتين: (1) في الفضاء الرقمي – أي عبر الأجزاء غير الخاضعة للمراقبة من الإنترنت؛ و(2) من خلال متاجر التطبيقات الرسمية مثل App Store وGoogle Play. دعونا نتناول هذا بالتفصيل.
متاجر التطبيقات الرسمية
في App Store Apple، كانت البرنامج الضار يختبئ داخل تطبيق币coin – المصمم لتتبع أسعار العملات المشفرة وإشارات التداول. ولسنا متأكدين بالضبط كيف انتهى هذا النشاط التجسسي المشبوه في التطبيق. من المحتمل أن يكون هناك اختراق لسلسلة التوريد، ولم يكن المطورون أنفسهم على دراية بفيروس SparkKitty حتى أبلغناهم عنه. لكن هناك أيضًا احتمال آخر: قام المطورون بتضمين أداة السرقة عمدًا في التطبيق. وبغض النظر عن السبب، هذه هي المرة الثانية التي نشاهد فيها تسللًا لفيروس حصان طروادة إلى App Store، وقمنا بتنبيه Apple بشأنه. وكان SparkCat هو الحالة الأولى.
التطبيق المصاب في App Store
الوضع مختلف مع Google Play: تظهر التطبيقات الضارة بشكل منتظم، ونغطي هذه التهديدات كثيرًا على Kaspersky Daily. وهذه المرة، اكتشفنا نشاطًا ضارًا في تطبيق مراسلة يتضمن ميزات تبادل العملات المشفرة. وهذا تطبيق شهير تم تثبيته أكثر من 10000 مرة، وتمت إزالته من Google Play في وقت الدراسة.
روابط مشبوهة في الفضاء الإلكتروني الواسع
ومع ذلك، كان المهاجمون هذه المرة أكثر إبداعًا في نشر البرامج الضارة في الفضاء الإلكتروني الواسع. وفي إحدى المرات، أثناء مراجعة روتينية للروابط المشبوهة (نضغط عليها حتى لا تضطروا أنتم إلى ذلك!) اكتشف خبراؤنا العديد من الصفحات المماثلة التي توزع نسخة معدلة من TikTok لنظام Android. وكان من بين الأشياء الرئيسية التي فعلتها النسخة المعدلة استدعاء تعليمات برمجية إضافية. وفكرنا حينها: “هذا يبدو مريبًا”. وكنا على حق. كانت التعليمات البرمجية تحتوي على روابط تظهر كأزرار داخل التطبيق، وجميعها توجه المستخدمين إلى متجر إلكتروني يسمى ‘TikToki Mall’، والذي يبيع مجموعة متنوعة من المنتجات. وللأسف، لم نتمكن من تحديد ما إذا كان المتجر شرعيًا أم مجرد فخ كبير — لكن برزت حقيقة واحدة مثيرة للاهتمام: يقبل متجر TikToki Mall الدفع بالعملات المشفرة، وتحتاج إلى رمز دعوة للتسجيل والدفع مقابل أي منتج. ولم نعثر على أي نشاط مشبوه آخر في هذه المرحلة، ولا توجد آثار لفيروس SparkKitty أو برامج ضارة أخرى.
لذلك قررنا اتباع نهج مختلف، ومعرفة ما سيحدث عندما نضغط على نفس هذه الروابط المشبوهة من هاتف iPhone. وقادنا ذلك إلى صفحة تشبه إلى حد بعيد App Store، والتي طلبت منا على الفور تنزيل “تطبيق TikTok”.
لا يسمح نظام iOS للمستخدمين بتنزيل التطبيقات وتشغيلها من مصادر خارجية. ومع ذلك، توفر Apple ما يسمى بملفات تعريف التوفير لكل عضو في برنامج مطوري Apple. وتسمح هذه الملفات بتثبيت تطبيقات مخصصة غير متوفرة في App Store على أجهزة المستخدمين، مثل الإصدارات التجريبية أو التطبيقات المطورة للاستخدام الداخلي للشركات. ويستغل المهاجمون ملفات التعريف هذه لتوزيع التطبيقات التي تحتوي على برامج ضارة.
اختلفت عملية التثبيت قليلاً عن الإجراء المعتاد. ففي App Store، تحتاج عادة إلى النقر على تثبيت مرة واحدة، لكن في هذه الحالة، يتطلب تثبيت TikTok المزيف خطوات إضافية: تنزيل ملف تعريف توفير خاص بالمطورين وتثبيته.
تثبيت تطبيق من مصدر غير معروف على iPhone
بطبيعة الحال، لم تحتوي هذه النسخة من TikTok على أي مقاطع فيديو مضحكة؛ لقد كانت مجرد متجر آخر، مشابه لنسخة Android. وعلى الرغم من أن نسخة iOS تبدو غير ضارة، إلا أنها طلبت الوصول إلى معرض الصور الخاص بالمستخدم في كل مرة يتم تشغيلها – وهنا كانت الخدعة. وقادنا هذا إلى اكتشاف وحدة خبيثة ترسل الصور من معرض صور الهاتف المصاب، بالإضافة إلى معلومات الجهاز، إلى المهاجمين. ووجدنا أيضًا آثارها في تطبيقات Android الأخرى. للحصول على التفاصيل الفنية للقصة، يرجى الاطلاع على تقريرنا الكامل على Securelist.
مَن المعرضون لهذا الخطر؟
تُظهر بياناتنا أن هذه الحملة تستهدف بشكل أساسي المستخدمين في جنوب شرق آسيا والصين. ومع ذلك، لا يعني هذا أن البلدان الأخرى بمنأى عن مخالب SparkKitty. وانتشرت البرامج الضارة منذ أوائل عام 2024 على الأقل، وعلى مدار العام ونصف العام الماضي، من المحتمل أن يكون المهاجمون قد فكروا في توسيع نطاق عملياتهم إلى بلدان وقارات أخرى. ولا يوجد ما يمنعهم. علاوة على ذلك، لا ينبغي أن تقلق فقط بشأن نسخة TikTok المعدلة؛ فقد وجدنا أيضًا نشاطًا ضارًا داخل العديد من ألعاب القمار والتطبيقات المخصصة للبالغين، وحتى التطبيقات المتعلقة بالعملات المشفرة.
إذا كنت تعتقد أن هؤلاء المهاجمين مهتمون فقط بالإعجاب بصور عطلتك، فعليك أن تعيد التفكير. يقوم SparkKitty بتحميل كل صورة من صورك إلى خادم القيادة والتحكم الخاص به. ويمكن أن تتضمن هذه الصور بسهولة لقطات شاشة لمعلومات حساسة مثل عبارات استعادة محفظة العملات المشفرة، مما يسمح لهؤلاء المجرمين بسرقة عملاتك المشفرة.
كيف تحمي نفسك من فيروس SparkKitty
ينتشر فيروس حصان طروادة هذا بعدة طرق، وتمثل حماية نفسك من كل واحد منها تحديًا صعبًا. وعلى الرغم من أن القاعدة الذهبية المتمثلة في “تنزيل التطبيقات من المصادر الرسمية فقط” لا تزال سارية، فقد وجدنا آثارًا لأداة السرقة هذا في كل من Google Play وApp Store – وهي أماكن يُفترض أن التطبيقات فيها خضعت للفحص وآمنة بنسبة 100%. فماذا يمكنك أن تفعل حيال ذلك؟
نوصي بالتركيز على تأمين معرض صورك على هاتفك الذكي. وبطبيعة الحال، فإن الطريقة الأكثر أمانًا هي عدم التقاط صور أو لقطات شاشة للمعلومات الحساسة، لكن هذا يكاد يكون مستحيلاً في الوقت الحاضر. وهناك حل: خزن صورك القيمة في Kaspersky Password Manager. وباستخدام كاسبرسكي لنظام أندرويد في ذلك – سيجد البرامج الضارة ويزيلها من أجلك. أما على iPhone، فنظرًا للهندسة المغلقة لنظام iOS، لا يستطيع Kaspersky فحص التطبيقات المصابة المثبتة مسبقًا وحذفها، لكنه سيمنع أي محاولات لإرسال البيانات إلى خوادم المهاجمين وسيحذرك منها.
وإذا اخترت اشتراك Kaspersky Premium أو Kaspersky Plus، فإنك تحصل على قناة كاسبرسكي تيليجرام للبقاء على اطلاع بأحدث التهديدات الإلكترونية، والتأكد من تخزين صورك بأمان.
تعرف على البرامج الضارة الأخرى التي تحتاج إلى الانتباه لها للحفاظ على أمان هاتفك الذكي:
- كيف تمكنت فيروسات Necro Trojan من مهاجمة 11 مليون مستخدم لنظام Android
- احذروا من برامج سرقة البيانات المتنكرة في هيئة… دعوات زفاف.
- فيروس حصان طروادة مُثبت في هواتف ذكية مزيفة بنظام Android
- برنامج سرقة البيانات من نوع فيروس حصان طروادة SparkCat يتسلل إلى App Store وGoogle Play ويسرق البيانات من الصور
- LianSpy: برنامج تجسس جديد للأجهزة المحمولة التي تعمل بنظام Android
النصائح