اكتشف باحثون في شركة كاسبرسكي لاب حملة للتجسس الإلكتروني بطريقة متطورة ظلّت لسنوات تستهدف مستخدمي أجهزة أندرويد في العديد من بلدان الشرق الأوسط وتلجأ الجهة التي تقف وراء الحملة المسمّاة ZooPark إلى اختراق مواقع شرعية لاستخدامها كمصدر لإصابة أهدافها، فيما تبدو الحملة وكأنها مدعومة من قبل جهات حكومية، كونها تستهدف منظمات سياسية وناشطين وأهدافًا أخرى في المنطقة. وحصل باحثو كاسبرسكي لاب حديثًا على ما بدا أنه عينة من برمجية خبيثة تصيب الأجهزة العاملة بنظام أندرويد وبدا للوهلة الأولى أن هذه البرمجية الخبيثة ليست ذات شأن كبير، نظرًا لكونها أداة تجسس بسيطة من الناحية التقنية، وقرر الباحثون إجراء مزيد من الأبحاث والتحقيقات، وسرعان ما اكتشفوا نسخة أحدث وأكثر تطورًا من التطبيق نفسه، فقرروا تسميتها ZooPark. ويتم توزيع بعض تطبيقات ZooPark الخبيثة من مواقع ويب إخبارية وسياسية شهيرة في أجزاء محددة من الشرق الأوسط، وهي تتنكر على هيئة تطبيقات مشروعة تحمل أسماء مثل TelegramGroups “مجموعات تيليجرام” و”أخبار النهار المصرية” وغيرها من أسماء معروفة في بعض بلدان الشرق الأوسط. وتتيح هذه التطبيقات للمهاجم، عند نجاحها في إصابة الجهاز المستهدف، سرقة بيانات تتضمن جهات الاتصال، وبيانات الحساب، وسجلات المكالمات، والتسجيلات الصوتية للمكالمات، والصور المخزنة على بطاقة SD للجهاز، والموقع حسب نظام تحديد المواقع العالمي GPS، والرسائل النصية القصيرة، وتفاصيل التطبيقات المثبتة، وبيانات متصفح الويب، وسجلّ النقر على مفاتيح، وبيانات الحافظة، وغيرها. كذلك تتيح التطبيقات الخبيثة للمهاجمين إجراء بعض العمليات خلسة من دون علم المستخدم، كإرسال الرسائل النصية القصيرة، وإجراء المكالمات الهاتفية، وتنفيذ أوامر معينة عبر قشرة نظام التشغيل “واجهة الاستخدام الخاصة بنواة نظام التشغيل”. ويستهدف التطبيق الخبيث كذلك تطبيقات المراسلة الفورية، مثل تيليجرام وواتساب وإيمو، فضلاً عن متصفح الويب جوجل كروم وبعض التطبيقات الأخرى، ما يتيح له سرقة قواعد البيانات للتطبيقات المستهدفة بالهجوم، كما يمكن، نتيجة للهجوم، الوصول إلى بيانات الاعتماد المخزنة الخاصة بمواقع ويب أخرى عبر متصفح الويب المخترَق. وتشير تحقيقات كاسبرسكي لاب إلى أن المهاجمين يركزون على المستخدمين في مصر والأردن والمغرب ولبنان وإيران، واستنادًا إلى الموضوعات الإخبارية التي استخدمها المهاجمون لجذب الضحايا وجعلهم يُنزِّلون ويثبِّتون البرمجيات الخبيثة، فإن الأفراد العاملين في وكالة الأمم المتحدة لإغاثة وتشغيل اللاجئين يُعتبرون من بين الأهداف المحتملة لبرمجيات ZooPark الخبيثة. وقال أليكسي فيرش، الخبير الأمني لدى كاسبرسكي لاب: “إن مزيداً من الأشخاص يستخدمون أجهزتهم المحمولة كأداة الاتصال الأساسية أو الوحيدة في بعض الأحيان، ويتمّ رصد نمط الاستخدام هذا من قِبل الجهات التي تقف وراء الحملات الخبيثة بدعم من بعض الدول، والتي تقوم ببناء أدواتها بطريقة فعالة بما يكفي لتتبع مستخدمي الأجهزة المحمولة، وما حملة الهجمات المستمرة المتقدمة ZooPark، التي تتجسس بنشاط على أهداف في دول الشرق الأوسط، إلاّ مثالًا على ذلك، ولكنها بالتأكيد ليست الوحيدة من نوعها”. وتمكن باحثو كاسبرسكي لاب، في المجمل من تحديد أربعة أجيال على الأقل من برمجيات التجسس الخبيثة المرتبطة بعائلة ZooPark، والتي تنشط منذ العام 2015 على أقل تقدير.
مشاركة :