تطبيق تيليجرام المعدل يسرق بيانات مستخدمي أندرويد الصينيين

يستخدم المهاجمون أكثر من 600 نطاق لإغراء الضحايا الناطقين بالصينية لتحميل تطبيق تيليجرام vulnerable يكاد يكون غير قابل للاكتشاف على الإصدارات القديمة من أندرويد.

استهدفت مجموعة تهديد غير معروفة المستهلكين والموظفين الناطقين بالصينية في منطقة آسيا والمحيط الهادئ من خلال إصدار معدل من برمجيات أندرويد الخبيثة، التي تستخدم ثغرة قديمة تسمح للمهاجم بإضافة وظائف ضارة.

تستخدم الهجمة أساليب التصيد وتحسين محركات البحث لتوجيه الضحايا المحتملين إلى أكثر من 600 نطاق تستضيف مواقع تحميل باللغة الصينية، والتي تبدو وكأنها تسمح بتثبيت تطبيق تيليجرام الخاص بالتراسل على منصات متنوعة، بما في ذلك أندرويد. وفي الواقع، تستهدف صفحات التحميل مستخدمي أندرويد من خلال رمز QR، محاولين إقناعهم بتثبيت نسخة ضارة من تيليجرام تستخدم ثغرة قديمة لتجاوز بعض تدابير الأمان.

تعتبر التحميلات من مصادر خارجية شائعة إلى حد ما في منطقة آسيا والمحيط الهادئ، كما تقول ريشكا ديساي، محللة أمنية في BforeAI، الشركة المتخصصة في الكشف والاستجابة.

"كانت جميع النطاقات الـ 607 التي عثرنا عليها مواقع فردية، لم تتصل بأي شكل من الأشكال بـ Google Play،" تقول. "كان رمز QR يعيد توجيه المستخدمين إلى موقع رئيسي واحد يتم منه تحميل التطبيق أو ملف تنفيذي."

استخدام نسخ مخترقة من تطبيقات التراسل وغيرها من التطبيقات الشائعة لاستهداف المستخدمين الآسيويين ليس بالأمر النادر. وجدت تحقيقات حديثة أن الهواتف الذكية الرخيصة التي تُباع في الصين تُشحن مع تطبيقات تراسل مخترقة، مثل واتساب، وفقًا لأبحاث نُشرت في أبريل بواسطة Doctor Web، وهي شركة برمجيات للأمن السيبراني مقرها ستراسبورغ، فرنسا. وقد استهدفت هجمات أخرى من قبل مجموعات مجرمي الإنترنت أفرادًا ذوي قيمة عالية لسرقة العملات المشفرة أو اختراق الحسابات البنكية أو مجرد القيام بالتجسس السيبراني.

ذات صلة: مجموعة Fancy Bear الروسية تعزز سرقة الأسرار العالمية

استهدفت هجمة مماثلة في عام 2022 المستخدمين لتثبيت تطبيق تيليجرام مزيف باستخدام موقع ويب باللغة الصينية. بينما كان الموقع يروج لبرامج تثبيت لمجموعة متنوعة من المنصات، تم إعادة توجيه أنظمة ويندوز فقط إلى التحميل الضار، بينما تم إعادة توجيه الأنظمة الأخرى إلى الموقع الفعلي لتيليجرام.

"تعتبر هجمات التصيد واحدة من أكثر التقنيات شيوعًا التي يستخدمها المهاجمون لاختراق الأنظمة المستهدفة في البداية،" ذكرت أبحاث Cyble في ذلك الوقت. "تعتبر هذه الهجمات شائعة للغاية؛ ومع ذلك، في هذه الحالة، فإن الحمولة معقدة بشكل خاص وتحتوي على قدرات تجسس متقدمة للغاية."

طائرات ورقية وتيليجرام

استخدمت الحملة الحالية نطاقات مشوهة مثل "teleqram" و"telegramapp" و"apktelegram"، والتصيد لتوجيه الضحايا المحتملين إلى صفحات توزع بنشاط حزم أندرويد (APKs) التي تدعي أنها تطبيق تيليجرام الشهير. كانت النطاقات مستضافة بشكل رئيسي في دول ناطقة بالصينية، وكانت تحمل عناوين صفحات تناقش "الطائرات الورقية" - شعار تيليجرام - واحتوت على رمز QR يبدأ التحميل، كما ذكر باحثو BforeAI في التقرير.

ذات صلة: هاكرز مرتبطون بحماس يستهدفون الدبلوماسيين في الشرق الأوسط

يمكن أن تكون عناوين الصفحات وسيلة لزرع نتائج البحث مع صفحات التحميل الضارة، كما تقول ديساي من BforeAI.

"قد يكون المهاجمون يلتقطون شيئًا يكتسب شعبية على مستوى العالم ويعدون بتوزيعه عبر تيليجرام، وهكذا يمكنك جذب الضحايا لتنزيله،" تضيف.

أكثر من 600 نطاق تحتوي على موقع صيني يروج لتنزيلات تيليجرام ولكن، في الواقع، تؤدي إلى برمجيات خبيثة. المصدر: BforeAI

تستخدم تطبيق تيليجرام المخترق نظام توقيع أندرويد v1 الأصلي، الذي لا يحمي البيانات الوصفية في أرشيف APK. تتيح هذه الثغرة هجمات أكثر خطورة على الهواتف القديمة - التي تعمل بالإصدار 5.0 إلى 8.0 - من خلال ثغرة Janus، التي اكتُشفت في يوليو 2017 وتم تصحيحها في ديسمبر 2017. تتيح الثغرة للمهاجمين إخفاء حمولة داخل ملف APK أو تحديث تطبيق أندرويد مثبت بالفعل مع وظائف إضافية.

"بعد إنشاء التطبيق الضار، يتم إعادة تعبئته باستخدام توقيعه الأصلي v1،" ذكرت BforeAI في التقرير. "تذهب هذه التعديلات دون اكتشاف، مما يسمح بتثبيت التطبيق المخترق دون إثارة الشكوك. بشكل أساسي، يمكّن ذلك المهاجمين من جعل التطبيق أكثر خطورة، وإعادة توزيعه كملف APK، وخداع المستخدمين - خاصة على الأجهزة القديمة - لتثبيته مع تجاوز جميع فحوصات الأمان."

ذات صلة: الشركات اليابانية تعاني من آثار طويلة الأمد لأضرار الفدية

في الأصل، كانت الثغرة تؤثر على ما يقرب من ثلاثة أرباع جميع أجهزة أندرويد، ولكن اليوم، تمثل الإصدارات الضعيفة من أندرويد حوالي 3.4% فقط من الأجهزة الموجودة.

تبقى نهايات فضفاضة

تستخدم APK الضارة أذوناتها لاستدعاء مشغل الوسائط في أندرويد كآلية لتلقي وتنفيذ الأوامر عن بُعد ومنح المهاجمين السيطرة على الجهاز.

بالإضافة إلى ذلك، استخدم المهاجم خدمة Firebase كخلفية للتحكم في التطبيقات ومعالجة مصادقة المستخدم وتخزين الملفات. وفقًا لديساي، فإن إحدى خدمات Firebase المذكورة في الشيفرة معطلة حاليًا.

"إذا كان بإمكانك فقط تسمية [خدمة Firebase] بنفس اسم الخدمة الأصلية [التي استخدمها المهاجم]، يمكن أن تتصل التطبيقات الأخرى بهذه الخدمة الموجودة،" تقول. "يمكن لشخص ما إما الاستفادة من ذلك ومساعدة الباحثين الذين يعملون على هذه الحملة، أو يمكن لمجموعة سيبرانية أخرى أن تستحوذ على هذه البيانات وتواصل الحملة. هذا سيجعل من الصعب تتبع من هو الجاني بالضبط."

يمكن للشركات اكتشاف الهجوم من خلال المجالات الضارة أو غير الموثوقة التي يتم الاتصال بها، بينما يمكن استخدام خدمات استخبارات التهديدات ومنصات الكشف عن النقاط النهائية والاستجابة (EDR) لتحديد البرمجيات الخبيثة المحتملة، كما ذكرت BforeAI في التقرير. على الأقل، يجب على الشركات منع الموظفين من تحميل وتثبيت التطبيقات من مصادر غير موثوقة.