ينتشر برنامج التجسس، الذي اكتشفته شركة Zimperium لأمن الأجهزة المحمولة، عبر قنوات Telegram ومواقع إلكترونية مزيفة تُحاكي البوابات الرسمية لخداع الضحايا وحثهم على تنزيل ملفات APK ضارة.
خلال الأشهر الثلاثة الماضية، حدد باحثو Zimperium أكثر من 600 عينة وحوالي 50 مُثبِّتًا مختلفًا، مما يُشير إلى حملة واسعة النطاق ومتطورة باستمرار.
يقوم المهاجمون بإنشاء صفحات تصيد تحتوي على تقييمات مزيفة، وعدادات تنزيل مبالغ فيها، وواجهة تحاكي جوجل بلاي ، بالإضافة إلى تعليمات مفصلة لتجاوز تحذيرات الأمان الخاصة بنظام كن حذراً .. برنامج تجسس جديد يُدعى ClayRat يتنكر في صورة واتساب وتيك توك ويوتيوب.
عندما يُثبّت المستخدم الحزمة الخبيثة، يعرض التطبيق شاشة تحديث زائفة أثناء تشغيل برنامج التجسس في الخلفية. يستخدم ClayRat طريقة تثبيت "قائمة على الجلسة" تُمكّنه من تجاوز بعض القيود المُطبقة في نظام أندرويد 13 والإصدارات الأحدث، مما يُقلل من شكوك المستخدم.
بمجرد تفعيله، يُمكن للبرنامج الخبيث اكتساب امتيازات مُتقدمة، مثل قراءة رسائل SMS واستخراجها، والوصول إلى سجلات المكالمات، والتقاط الصور بالكاميرا الأمامية، والتقاط الإشعارات، وبإذن مناسب، يُصبح تطبيق الرسائل القصيرة الافتراضي، مما يمنحه تحكمًا كاملاً في رسائل الجهاز. كما يُمكنه إرسال رسائل نصية جماعية إلى جهات اتصال الضحية للانتشار بسرعة.
يتواصل ClayRat مع خوادم القيادة والتحكم الخاصة به عبر قنوات مُشفرة، ويدعم أوامر عن بُعد مُتعددة لاستخراج قوائم التطبيقات المُثبتة، والحصول على معلومات الجهاز، وإعادة توجيه الرسائل، أو بدء المكالمات.
شاركت Zimperium مؤشرات الاختراق (IoCs) مع جوجل، وقامت خدمة Play Protect منذ ذلك الحين بحظر المتغيرات المعروفة. مع ذلك، يُحذر الخبراء من أن الحملة لا تزال نشطة، ويُنصح المستخدمين بتجنب تنزيل التطبيقات من الروابط الخارجية أو قنوات Telegram.
ليست هناك تعليقات:
إرسال تعليق