اكتشف باحثو كاسبرسكي أن القراصنة يستخدمون تكتيكًا جديدًا في حملة (Roaming Mantis) التي تَستخدم ملفات التثبيت لنظام أندرويد (APK) الضارة للتحكم في هواتف الضحايا وسرقة معلومات الأجهزة.
وأوضحت كاسبرسكي، التي رصدت الحملة أول مرة عام 2018، أن الحملة تُستخدم أيضًا في التصيّد الاحتيالي في أجهزة (iOS)، وفي تعدين العملات المشفرة في الحواسيب الشخصية.
ويعتمد اسم الحملة – السرعوف المتجول – على انتشارها عبر الهواتف الذكية التي تتجول بين شبكات واي فاي، والتي من المحتمل أن تحمل العدوى وتنشرها عبر الشبكات.
واكتشفت شركة أمن المعلومات الروسية أن حملة (Roaming Mantis) بدأت حديثًا تتيح إمكانية تغيير نظام أسماء النطاقات (DNS) في التطبيق الخبيث المُستخدم في الحملة: (Wroba.o) المعروف أيضًا بأسماء، هي: (Agent.eq)، و (Moqhao)، و (XLoader).
يُشار إلى أن مُغيّر نظام أسماء النطاقات (DNS) الضار يوجه الجهاز المتصل بجهاز توجيه “رواتر” واي فاي مُخترق إلى خادم تحت سيطرة القراصنة بدلًا من خادم (DNS) شرعي. وفي صفحة الهبوط الخبيثة، يُطلب من الضحايا تنزيل برامج ضارة يمكنها التحكم في الجهاز أو سرقة بيانات الاعتماد.
موضوعات ذات صلة بما تقرأ الآن:
وذكرت كاسبرسكي في تقريرها أن القراصنة الذين يقفون وراء حملة (Roaming Mantis) الجديدة يستخدمون الآن حصريًا أجهزة التوجيه الموجودة في كوريا الجنوبية، والتي تصنعها شركة كورية شهيرة لصناعة معدات الشبكات.
وقالت الشركة إنها لاحظت في شهر كانون الأول/ ديسمبر الماضي 508 تنزيلات لملفات (APK) ضارة في كوريا الجنوبية، ووجد تحقيق في صفحات الهبوط الضارة أن المهاجمين يستهدفون أيضًا مناطق أخرى باستخدام الرسائل النصية القصيرة بدلًا من مُغيِّرات (DNS).
وتستخدم هذه التقنية الرسائل النصية لنشر الروابط الخبيثة التي توجه الضحية إلى موقع ضار لتنزيل البرامج الخبيثة على الجهاز أو سرقة معلومات المستخدم عبر أحد مواقع التصيد الاحتيالي.
وتصدرت اليابان قائمة البلدان المستهدفة مع ما يقرب من 25,000 تنزيل لملفات (APK) الضارة، ثم تبعتها النمسا وفرنسا بنحو 7,000 تنزيل لكل منهما، ثم جاءت بعدها ألمانيا وتركيا وماليزيا والهند.
ويتوقع باحثو كاسبرسكي أن القراصنة قد يُحدِّثون قريبًا وظيفة مُغيِّر (DNS) لاستهداف أجهزة توجيه واي فاي في تلك المناطق أيضًا.
ووفقًا لإحصاءات شبكة كاسبرسكي الأمنية (KSN) خلال المدة بين شهري أيلول/ سبتمبر 2022، فقد كان أعلى معدل اكتشاف لبرنامج (Wroba.o) الضارة في فرنسا بنسبة 54.4 في المئة، واليابان بنسبة 12.1 في المئة، والولايات المتحدة بنسبة 10.1 في المئة.
وقال الباحث الأمني الأول في كاسبرسكي، سوجورو إيشيمارو: “لمّا يتصل هاتف ذكي مصاب بأجهزة توجيه “سليمة” في أماكن عامة مختلفة، مثل: المقاهي، أو الحانات، أو المكتبات، أو الفنادق، أو مراكز التسوق، أو المطارات، أو حتى المنازل، فإنه يمكن لبرامج (Wroba.o) الضارة اختراق أجهزة التوجيه هذه والتأثير على الأجهزة المتصلة الأخرى أيضًا”.
وأضاف إيشيمارو أنه يمكن لوظيفة تغيير (DNS) الجديدة إدارة جميع اتصالات الجهاز باستخدام جهاز التوجيه المخترق، مثل: إعادة التوجيه إلى الأجهزة المضيفة الخبيثة، وتعطيل تحديثات منتجات الأمان. “ونعتقد أن هذا الاكتشاف بالغ الأهمية للأمن السيبراني لأجهزة أندرويد لأنه قادر على الانتشار على نطاق واسع في المناطق المستهدفة”.