كاسبرسكي لاب تكتشف "تريادا": حصان طروادة الذي يستهدف الأجهزة المتنقلة التي تعمل بنظام أندرويد

اكتشف خبراء لدى كاسبرسكي لاب تريادا (Triada) وهو حصان طروداة جديد يستهدف الأجهزة التي تعمل بنظام اندرويد، وبالإمكان مقارنته بالبرامج الخثبية التي تعمل في بيئة ويندوز من ناحية تعقيده. وهو سري ومركب ودائم وقد ابتكره محترفو الجرائم الإلكترونية. وتعد الأجهزة العاملة بنظام التشغيل اندرويد ذات الإصدار 4.4.4 والإصدار الأسبق أكثر عرضة لهذا الخطر.
ووفقاً لآخر بحث أجرته كاسبرسكي لاب حول علم فيروسات الأجهزة المحمولة، تبين أن نصف أحصنة طروادة العشرين الأوائل في العام 2015 هي برامج خبيثة قادرة على الحصول على حقوق دخول استثنائية لحسابات المستخدمين. وتمنح الامتيازات الاستثنائية لحسابات المستخدمين المجرمين الالكترونيين حقوق تثبيت التطبيقات على الأجهزة المتحركة بدون معرفة المستخدم.
يتكاثر هذا النوع من البرامج الخبيثة عن طريق التطبيقات التي يحملها/ يثبتها المستخدمون من المصادر غير الموثوقة. وبالإمكان العثور على هذه التطبيقات في المتجر الرئيسي للتطبيقات غوغل بلاي، حيث تُخفي هيئتها على شكل لعبة أو تطبيق ترفيهي. ومن الممكن أيضاً تثبيتها أثناء تحديث أي طبيقات مشهورة موجودة فعلياً، وقد تكون مسبقة التثبيت في بعض الحالات على الجهاز المحمول. وتعد الأجهزة العاملة بنظام التشغيل اندرويد ذو الإصدار 4.4.4 والإصدارات الأسبق أكثر عرضة لهذا الخطر.
هنالك إحدى عشرة عائلة معروفة من أحصنة طروادة للهواتف المحمولة التي تستعمل الامتيازات على مستوى الجذور. ثلاثة منها (Ztorg وGorpo وLeech) تعمل بشكل تشاركي. وعادةً ما تنظم الأجهزة المصابة بأحصنة الطروادة هذه أنفسها ضمن شبكة، لذا تعمل على إنشاء نوع من الشبكات الدعائية (بوت نت) التي يُمكن أن يستعملها مسببو التهديدات لتثبيت أنوع مختلفة من البرامج الدعائية.
وبعد فترة قصيرة من تثبيت جذورها في الجهاز، تقوم أحصنة طروادة المذكورة أعلاه بتحميل وتثبيت باب سري للدخول إلى الجهاز، ثم يعمل على ت
حميل وتفعيل نموذجين اثنين قادرين على تحميل وتثبيت وتشغيل التطبيقات.
وتعود برامج تحميل التطبيقات وأدوات التثبيت إلى انواع مختلفة من أحصنة طروادة، لكنها أضيفت جميعاً إلى قاعدة بيانات الفيروسات لدينا باسم موحد وهو "تريادا".
ومن بين إحدى ميزات البرنامج الخثبيت "Zugote" والذي يعد عنصراً أساسي في عمل التطبيق على جهاز الاندرويد – هو انه يحتوي على مكتبات النظام وأطر العمل المستعملة في كل تطبيق مثبت على الجهاز. بكلمات أخرى، يهدف هذا البرنامج الخبيث إلى إطلاق تطبيقات بنظام اندرويد. وعملية التطبيق القياسية هذه تعمل مع تطبيق مثبت حديثاً، وهذا يعني أنه حالما يدخل حصان طروادة إلى النظام، فإنه يصبح جزءاً من عملية التطبيق، ويتم تثبيته مسبقاً ضمن أي تطبيق يتم إطلاقه على الجهاز، وبإمكانه أن يغير الطريقة المنطقية لعمليات التطبيق أيضاً.
هذه التكنولوجيا هي الأولى من نوعها في هذا المجال.
كما تعد قدرات السرقة لهذا البرنامج الخبيث متطورة جداً. فبعد أن يدخل إلى جهاز المستخدم، يعمل "تريادا" في كل عملية فعالة تقريباً ويظل موجوداً في الذاكرة قصيرة الأجل. وهذا يجعل من اكتشافه أمراً شبه مستحيل، فهو يعمل أيضاً على حذف الحلول المضادة للبرامج الخبيثة. كما أنه يعمل بصمت، أي أن كافة النشاطات الخبيثة مخفية بالنسبة للمستخدم والتطبيقات الأخرى.
أثبت تعقيد آلية عمل حصان طروادة "تريادا" حقيقة أن هنالك مجرمون الكترونيون محترفون للغاية ولديهم فهم معمق لمنصة عمل الاجهزة المحمولة المستهدفة وهم وراء هذا البرنامج الخبيث.
وبإمكان حصان طروادة "تريادا" تعديل الرسائل النصية الصادرة المرسلة بواسطة التطبيقات الأخرى، وهي إحدى الوظائف الأساسية لهذا البرنامج الخبيث. فعندما يجري المستخدم مشتريات بواسطة تطبيق عبر الرسائل النصية لأي ألعاب بنظام اندرويد، فمن المرجح أن يُعدل المحتالون الرسالة النصية الصادرة لكي يستلموا المال عوضاً عن مطور اللعبة.
وفي هذا الشأن قال نيكيتا بوتشكا، محلل برامج خبيثة لدى كاسبرسكي لاب: "يُشكل حصان طروادة "تريادا" المكون من (Ztorg وGorpo وLeech) مرحلة جديدة في تطور التهديدات القائمة على نظام التشغيل اندرويد. وهو من أوائل البرمج الخبيثة التي انتشرت، والتي تتمتع بإمكانية زيادة ميزاتها على معظم الأجهزة. ويقع معظم المستخدمين الذين تعرضوا إلى هجمات أحصنة الطروادة في روسيا والهند واوكرانيا ودول آسيا والمحيط الهادئ. ومن الصعب ان نقلل من شأن تهديد التطبيق الخبيث الذي يتمتع بحق الوصول إلى جذر أي جهاز. وتهديدهم الرئيسي كما يظهر في مثال "تريادا" يتمثل في حقيقة أنها تمنح حق الوصول إلى الجهاز لتطبيقات خبيثة أكثر خطراً وتطوراً. فضلاً عن أنها تتمتع بهيكل منظم جداً ومطور من قبل المجرمين الالكترونيين الذين لديهم معرفة معمقة بمنصة الأجهزة المستهدفة".
وبما أنه من شبه المستحيل إلغاء تثبيت هذا البرنامج الخبيث من الجهاز، فإن المستخدمين يواجهون خيارين اثنين للتخلص منه. الأول يتمثل في "إعادة تثبيت جذور root" أجهزتهم وحذف التطبيقات الخبيثة يدوياً. أما الخيار الثاني فهو الهروب من نظام أندرويد على الجهاز.
تعمل منتجات كاسبرسكي لاب على اكتشاف مكونات حصان الطروادة "تريادا" مثل:
Trojan-Downloader.AndroidOS.Triada.a
Trojan-SMS.AndroidOS.Triada.a
Trojan-Banker.AndroidOS.Triada.a
Backdoor.AndroidOS.Triada
لمعرفة المزيد حول "تريادا"، يرجى قراءة المنشور المتاح على www.securelist.com.