––برامج المحادثات التجسسية على Google Play

اكتشف الباحثون عدة إصدارات مصابة ببرامج التجسس من Telegram وSignal على Google Play.

بالنسبة لبرامج المراسلة الشهيرة مثل Telegram وSignal وWhatsApp، يوجد عدد غير قليل من برامج العملاء البديلة (لا ينبغي الخلط بين هذا المصطلح وبين مصطلح العملاء الذي يعني العملاء من البشر؛ وأيًا كان من اختار هذه اللغة المربكة فهو بحاجة إلى حديث جيد معه). وتوفر هذه التطبيقات المعدلة – المعروفة باسم البرامج المعدلة – في الغالب للمستخدمين ميزات وإمكانيات غير متوفرة في العملاء الرسميين.

في حين لا يوافق تطبيق WhatsApp على التعديلات – ويحظرها بشكل دوري من متاجر التطبيقات الرسمية، فإن Telegram لم يشن حربًا أبدًا على برامج العملاء البديلة، بل إنه يشجع بنشاط على إنشائها، لذلك تظهر تعديلات Telegram كما لو كانت مثل الفطر. لكن هل هي آمنة؟

للأسف، تشير العديد من الدراسات الحديثة إلى أنه يجب التعامل مع تعديلات برامج المراسلة بحذر شديد. وعلى الرغم من أن معظم المستخدمين لا يزالون يثقون بشكل أعمى في أي تطبيق تم التحقق منه ونشره على Google Play، فقد أبرزنا مرارًا وتكرارًا المخاطر: عند تنزيل تطبيق من Google Play، قد تلتقط كذلك فيروس حصان طروادة (هذا النوع تم تنزيله أكثر من 100 مليون مرة!) أو فيروس باب خلفي أو مشترك خبيث، أو الكثير من المواد سيئة السمعة الأخرى أو كل ما سبق معًا.

هذا فقط في: تطبيق Telegram المصاب باللغتين الصينية والأويغورية على Google Play

سنبدأ بقصة حدثت مؤخرًا. اكتشف خبراؤنا العديد من التطبيقات المصابة على Google Play تحت ستار الإصدارات باللغات الأويغورية والصينية المبسطة والصينية التقليدية من تطبيق Telegram. وتم كتابة أوصاف التطبيق باللغات المعنية وتحتوي على صور مشابهة جدًا لتلك الموجودة على صفحة Telegram الرسمية على Google Play.

ولإقناع المستخدمين بتنزيل هذه البرامج المعدلة بدلاً من التطبيق الرسمي، يدعي المطور أنها تعمل بشكل أسرع من برامج العملاء الآخرى بفضل شبكة موزعة من مراكز البيانات حول العالم.

إصدارات برامج التجسس من Telegram على Google Play

إصدارات اللغات الصينية المبسطة والصينية التقليدية والأويغورية من Telegram على Google Play التي تحتوي على برامج تجسس بداخلها

للوهلة الأولى، تبدو هذه التطبيقات وكأنها نسخة كاملة من Telegram مع واجهة محلية. ويبدو كل شيء ويعمل تقريبًا مثل التطبيق الحقيقي.

ألقينا نظرة سريعة على التعليمات البرمجية ووجدنا أن التطبيقات ليست أكثر من مجرد نسخ معدلة قليلاً من التطبيق الرسمي. ومع ذلك، يوجد اختلاف بسيط غاب عن انتباه مشرفي Google Play: تحتوي الإصدارات المصابة على وحدة إضافية. وتراقب هذه الوحدة باستمرار ما يحدث في تطبيق المراسلة وترسل كميات كبيرة من البيانات إلى خادم الأوامر والتحكم الخاص بمنشئي برنامج التجسس: جميع جهات الاتصال، والرسائل المرسلة والمستلمة مع الملفات المرفقة، وأسماء الدردشات/القنوات، واسم ورقم هاتف صاحب الحساب – أي مراسلات المستخدم بأكملها في الأساس. وحتى إذا غيّر المستخدم اسمه أو رقم هاتفه، سيتم إرسال هذه المعلومات أيضًا إلى المهاجمين.

سابقًا: إصدارات برامج التجسس من Telegram وSignal على Google Play

من المثير للاهتمام أن الباحثين في شركة ESET اكتشفوا منذ فترة قصيرة إصدارًا آخر من برنامج التجسس لتطبيق Telegram – FlyGram. وفي الواقع لم يحاول هذا الإصدار حتى التظاهر بأنه رسمي. وبدلاً من ذلك، فقد وضع نفسه كعميل بديل لتطبيق Telegram (أي مجرد تطبيق معدل)، ووجد طريقه ليس فقط إلى Google Play، لكن إلى متجر Samsung Galaxy Store أيضًا.

الأمر الأكثر إثارة للفضول هو أن منشئي التطبيق المعدل لم يقتصروا على تقليد Telegram فقط. ونشروا كذلك نسخة مصابة من Signal في المتجرين، وأطلقوا عليها اسم Signal Plus Messenger. ومن أجل المزيد من المصداقية، ذهبوا إلى أبعد من ذلك وأنشأوا موقعي ويب flygram[.]org وsignalplus[.]org لتطبيقاتهم المزيفة.

Signal Plus Messenger: إصدار برنامج تجسس من Signal على Google Play وفي Samsung Galaxy Store

يوجد أيضًا برنامج تجسس على Google Play لتطبيق Signal يُسمى Signal Plus Messenger. (المصدر)

في الداخل، كانت هذين التطبيقين بمثابة برنامجي مراسلة Telegram/Signal كاملين، وكانت تعليماتهما البرمجية مفتوحة المصدر مليئة بإضافات ضارة.

لذلك تعلم FlyGram سرقة جهات الاتصال وسجل المكالمات وقائمة حسابات Google وغيرها من المعلومات من الهاتف الذكي للضحية، بالإضافة إلى إنشاء “نسخ احتياطية” من المراسلات ليتم تخزينها… في أي مكان آخر إلا على خادم المهاجم (رغم أن هذا “الخيار” كان لا بد من تفعيله في برنامج المراسلة المعدل بشكل مستقل من قبل المستخدم).

في حالة Signal Plus، كان النهج مختلفًا بعض الشيء. استخرج البرنامج الضار قدرًا معينًا من المعلومات من الهاتف الذكي للضحية مباشرة، وسمح للمهاجمين بتسجيل الدخول إلى حساب Signal الخاص بالضحية من أجهزتهم الخاصة دون أن يلاحظهم أحد، وبعد ذلك يمكنهم قراءة جميع المراسلات في الوقت الفعلي تقريبًا.

ظهر FlyGram على Google Play في يوليو 2020 وظل هناك حتى يناير 2021، بينما تم نشر Signal Plus في متاجر التطبيقات في يوليو 2022 وتمت إزالته من Google Play فقط في مايو 2023. في متجر Samsung Galaxy Store، وفقًا لموقع BleepingComputer، كان كلا التطبيقين لا يزالان متاحين في نهاية أغسطس 2023. حتى لو اختفت الآن تمامًا من هذه المتاجر، كم عدد المستخدمين المطمئنين الذين يستمرون في استخدام البرامج المعدلة لبرامج المراسلة “السريعة والسهلة” التي تكشف جميع رسائلهم أمام أعين المتطفلين؟

عناوين محفظة العملات المشفرة المزيفة على تطبيقي WhatsApp وTelegram المصابين

قبل بضعة أشهر فقط، كشف الباحثون الأمنيون أنفسهم عن عدد كبير من نسخ WhatsApp وTelegram المصابة بفيروس حصان طروادة التي تهدف في المقام الأول إلى سرقة العملات المشفرة. وتعمل عن طريق انتحال عناوين محفظة العملات المشفرة في الرسائل لاعتراض التحويلات الواردة.

 تطبيق WhatsApp المصاب ينتحل عنوان محفظة العملات المشفرة في الرسائل

نسخة مصابة من WhatsApp (على اليسار) تنتحل عنوان محفظة العملات المشفرة في رسالة إلى المستلم، الذي يمتلك النسخة الرسمية غير المصابة من WhatsApp (على اليمين). (المصدر)

بالإضافة إلى ذلك، تستخدم بعض الإصدارات ميزة التعرف على الصور للبحث في لقطات الشاشة المخزنة في ذاكرة الهاتف الذكي عن عبارات الاسترداد، وهي سلسلة من كلمات الرموز التي يمكن استخدامها للحصول على تحكم كامل على محفظة العملات المشفرة ثم إفراغها.

سرقت بعض تطبيقات Telegram المزيفة معلومات الملف الشخصي للمستخدم المخزنة في سحابة Telegram: ملفات التكوين وأرقام الهواتف وجهات الاتصال والرسائل والملفات المرسلة/المستلمة وما إلى ذلك. وفي الأساس، سرقت جميع بيانات المستخدم باستثناء المحادثات السرية التي تم إنشاؤها على أجهزة أخرى. ولم يتم توزيع كل هذه التطبيقات على Google Play، لكن من خلال مجموعة متنوعة من المواقع المزيفة وقنوات YouTube.

كيف تحافظ على أمانك؟

أخيرًا، نقدم لك بعض النصائح عن كيفية حماية نفسك من الإصدارات المصابة من برامج المراسلة الشهيرة، بالإضافة إلى التهديدات الأخرى التي تستهدف مستخدمي الأجهزة التي تعمل بنظام Android:

  • كما رأينا، حتى Google Play ليس محصنًا ضد البرامج الضارة. ومع ذلك، لا تزال المتاجر الرسمية أكثر أمانًا من المصادر الأخرى. لذلك، استخدمها دائمًا لتنزيل التطبيقات وتثبيتها.
  • كما أوضح هذا المنشور، يجب التعامل مع برامج العملاء البديلة لبرامج المراسلة الشهيرة بحذر شديد. ويتيح المصدر المفتوح لأي شخص إنشاء تعديلات وملئها بجميع أنواع المفاجآت السيئة.
  • قبل تثبيت التطبيق الأكثر رسمية من المتجر الرسمي، يرجى إلقاء نظرة فاحصة على صفحته والتأكد من أنه حقيقي — انتبه ليس فقط إلى الاسم، لكن أيضًا إلى المطور. يحاول مجرمو الإنترنت غالبًا خداع المستخدمين من خلال إنشاء نسخ من التطبيقات ذات الأوصاف المشابهة للأصل.
  • من الجيد قراءة تعليقات المستخدمين السلبية – إذا كانت هناك مشكلة في أحد التطبيقات، فمن المرجح أن يكون شخص قد اكتشفها بالفعل وكتب عنها.
  • تأكد من التثبيت حماية موثوقة على جميع أجهزتك التي تعمل بنظام Android، والتي ستحذرك إذا حاولت البرامج الضارة التسلل إليها.
  • إذا كنت تستخدم الإصدار المجاني من Kaspersky: Antivirus & VPN، تذكر أن تفحص جهازك يدويًا بعد التثبيت وقبل تشغيل أي تطبيق لأول مرة.
  • يتم إجراء فحص للتهديدات تلقائيًا في الإصدار الكامل من حل الأمان الخاص بنا لنظام التشغيل Android، وتم تضمينه في باقات اشتراكات Kaspersky Standard وKaspersky Plus وKaspersky Premium.
النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!