تطبيق نتفليكس مزيف نشر برمجيات خبيثة على هواتف ذكية

العالم الاقتصادي- رصد

على تطبيق  متجر “غوغل بلاي” Google Play، انتشر تطبيق رقميّ يتنكر في شكل تطبيق “نتفليكس” وسيطر على حسابات عدة لمستخدمي “واتساب”، تطبيق الدردشة الشهير.

ادعى التطبيق الاحتيالي الذي يُسمى “نتفليكس أونلاين” أنه سيسمح للمستخدمين بمشاهدة محتوى شبكة البث التدفقي “نتفليكس” من مناطق عدة حول العالم على هواتفهم الذكية.

ولكن التطبيق المزيف بدلاً من ذلك، رصد إشعارات “واتساب” التي تظهر على هواتف المستخدمين، وبعث ردوداً تلقائية على رسائل واردة إليهم طالباً من جهات الاتصال الاشتراك في “نتفليكس أونلاين”.

“اشتراك مجاني لمدة شهرين في “نتفليكس بريميوم” Netflix Premium  من دون تكلفة بسبب الحجر المنزلي. احصل على شهرين من “نتفليكس بريميوم” مجاناً في أي مكان في العالم لمدة 60 يوماً. احصل عليه الآن من هنا”، كما جاء في الرسالة التي اكتشفها “تشك بوينت ريسيرتش”، المعني بتقديم خدمات أمنية تواجه التهديدات السيبرانية.

هكذا، ما إن يلجأ المستخدم إلى تثبيت التطبيق المزيف على جهازه، يصبح في مقدور “نتفليكس بريميوم” نشر برمجياته الخبيثة بشكل أكبر، وسرقة بيانات “واتساب”، من ثم ابتزاز المستخدمين عبر تهديدهم بإرسال معلومات حساسة إلى جميع جهات الاتصال على هواتفهم.

عندما ثبّت مستخدمون التطبيق على هواتفهم، طلب منهم إعطاءه الإذن باستخدام ثلاث خاصيات موجودة في الهواتف: ظهور شاشة تطبيق فوق تطبيقات أخرى screen overlay، وتجاهل تحسين أداء البطارية battery optimization ignore، والإشعارات notifications. هكذا، أتيح أمامه إنشاء شاشة “تسجيل دخول” مزيفة لسرقة ما يُسمى “بيانات الاعتماد”credentials ، والسماح له بالرد على جميع الرسائل الواردة.

“بعد الحصول على الإذن، تعرض البرمجيات المزيفة صفحة استقبال تتلقاها من خادم يُعرف بالـ”سي أند سي”C&C  (اختصاراً لـ”القيادة والسيطرة”) يتحكّم فيه مقرصن إلكتروني، وتخفي رمزها فوراً منعاً لحذف البرمجيات الخبيثة بسهولة. يتحقق ذلك عبر خدمة تتصل بشكل دوري بالـ”سي أند سي”، وتعمل على تحديث إعدادات البرمجيات الخبيثة بناء على ذلك، بحسب ما يشرح “تشيك بوينت ريسرتش”.

ساعي “القيادة والسيطرة” جهاز كمبيوتر يصدر توجيهات تصل إلى أجهزة إلكترونية أخرى تعرّضت للقرصنة ببرمجيات خبيثة.

“يمكن للخدمة تحقيق تلك الأهداف عبر وسائل عدة. على سبيل المثال، يمكن تشغيل الخدمة عن طريق تثبيت التطبيق، كذلك بواسطة وجود منبّه Alarm (موجود في خادم “سي أند سي”) ينبه الخادم إلى أن تشغيل التطبيق قد تحقّق BOOT_COMPLETED”، يتابع الباحثون.

في الواقع، “تقنية البرمجية الخبيثة جديدة ومبتكرة، تهدف إلى سرقة حسابات “واتساب” الخاصة بالمستخدمين عبر تلقف الإشعارات، والقدرة على اتخاذ إجراءات محددة مسبقاً، مثل “الرفض “أو” الرد “عبر إدارة الإشعارات”، قال أفيران هازوم، مدير قسم “ذكاء الهاتف” لدى شركة “تشيك بوينت سوفتوير”.

ويتابع محذراً، “حقيقة أن البرمجيات الخبيثة كانت قادرة على التخفِّي بسهولة وتخطي حماية متجر “بلاي” في نهاية المطاف، تثير بعض إشارات التنبيه الصريحة والخطيرة. على الرغم من أننا أوقفنا حملة قرصنة واحدة تستخدم تلك البرمجيات الخبيثة، غير أن الأخيرة ربما تعود في تطبيق مختلف وعلى نحو خفي”.

لحسن الحظ، عندما أُبلغ “غوغل” بوجود التطبيق المزيّف، حذفه من متجر “بلاي” الخاص به. ولكن على مدى شهرين، كان نحو 500 مستخدم قد ثبتوه على هواتفهم، على ما ذكرت “تشك بوينت ريسيرتش”.

“على الرغم من أن هذه التطبيقات نادرة وقلّما يعمد المستخدمون إلى تثبيتها على هواتفهم، فإنها تمثل تهديداً هائلاً- وقد يشير اكتشاف (تطبيق نتفليكس المزيف) إلى أن تطبيقات خبيثة أخرى ستظهر لاحقاً. القدرة على إرسال رسائل مخادعة من تطبيق آخر مثبّت على الهاتف أمر قوي التأثير وينطوي على خطورة بالغة، ذلك أن ظهور تلك الرسائل على هواتف الضحايا، يترافق مع شعور بالثقة فيها لأنها ترد من جهة اتصال معروفة. لذا يكون الهجوم (السيبراني) شديد الفاعلية وفائق التلاعب”، كما قال جيك مور، الخبير في الأمن السيبراني لدى “إي أس إي تي”، علماً أنها شركة سلوفاكية متخصصة بأمن الإنترنت.

وفق جيك: “يعرف الفاعلون ذوو النوايا الخبيثة أن أشكال التسلّل تلك تعمل بشكل أفضل عندما تنتقل إلى هاتف المستخدم عبر جهات اتصاله وليس عبر رسائل تطفلية (إعلانات مثلاً). وإذا عمد شخص ما إلى تنزيل هذا التطبيق أو تطبيق آخر مشابه له، فربما يبعث برسائل “واتساب” إلى جهات الاتصال لديه من دون علمه، لذا على المستخدمين أن يلتزموا الحذر تجاه الروابط والمرفقات في الرسائل الواردة إلى أجهزتهم، حتى لو كان مصدرها جهات اتصال معروفة”، لهم.

– The Independent–