"مزار" فيروس إيراني يتجسس على هاتفك عبر رسالة واحدة

كشفت شركة Heimdal Security المُتخصصة بالأمن الرقمي عن برمجية خبيثة انتشرت مؤخرًا تُصيب الهواتف الذكية العاملة بنظام أندرويد وتؤدي إلى نتائج وخيمة منها فتح بوابة خلفية في الهاتف المُصاب للتجسس والسيطرة عليه عن بعد، أو إرسال رسائل SMS دولية عالية التكلفة، وصولًا إلى إمكانية حذف جميع المعلومات المُخزنة في الهاتف.
تحمل هذه البرمجية الاسم Mazar BOT، وتقوم بإرسال رسائل SMS عشوائية إلى أرقام الهواتف حول العالم. نص الرسالة المُخادعة يُخبر المُستخدِم بأنه قد تلقى رسالة وسائط مُتعددة MMS ويحتاج إلى الضغط على الرابط المُتضمّن من أجل قراءة الرسالة. فيما يلي نص الرسالة كما نشرته Heimdal Security بعد تعطيل الروابط وحذف الرقم:
المشكلة تحدث في حال قام المُستخدم بالضغط على الرابط الذي يقوم بتنزيل التطبيق الخبيث بصيغة ملف apk، حيث يوحي التطبيق بأنه مُخصص لقراءة رسائل MMS لكنه في الحقيقة ليس إلا بوابةً خلفيةً تمنح صانعيه وصولًا واسع الصلاحيات إلى الهاتف المُصاب.
وكي يتمكّن القائمون على هذه الهجمة من إخفاء مراكز تحكّمهم (المُخدّمات Servers المُستخدمة)، يقوم تطبيق الـ MMS المُزيّف لدى تثبيته، بجلب تطبيق التخفي الشهير TOR وتثبيته على الهاتف دون علم المُستخدم، حيث يتم الاتّصال بمُخدّمات القراصنة الموجودة ضمن شبكة TOR الخفية على العنوان http: // pc35hiptpcwqezgs [.] Onion، أي أن المُخدّم مُستضاف على ما يُعرف بالويب المُظلم Dark Web وهي نفس الشبكة التي تستضيف المواقع الخارجة على القانون كمواقع بيع المُخدرات والأسلحة والتي لا يُمكن الوصول إليها إلّا من خلال شبكة TOR.
بعد ذلك يقوم التطبيق الخبيث بإرسال رسالة SMS من الهاتف المُصاب إلى الرقم 9876543210+ حيث يعود رمز النداء الدولي (+98) إلى الجمهورية الإيرانية، وتتضمن هذه الرسالة معلومات الموقع الجغرافي للضحية.
هذه عينة مما يُمكن لبرمجية “مزار” الخبيثة عمله:
فتح بوابة خلفية في هواتف أندرويد المصابة ومراقبتها والتحكم بها
إرسال رسائل SMS إلى أرقام عالية التكلفة
قراءة رسائل الـ SMS الواردة للمُستخدم، بما في ذلك رسائل التحقق بخطوتين التي تُرسلها المصارف وغيرها من الخدمات الآمنة
وصول كامل إلى هواتف أندرويد يُتيح للمُهاجمين عمل ما يحلو لهم في الهاتف
تنفيذ الهجمات من نوع “الرجل في الوسط” Man-in-the-middle Attack لتحويل المُستخدم إلى مواقع مُزيفة والتجسس على نشاطاته
تتيح البرمجية حقن نفسها في مُتصفح كروم للتجسس على المواقع التي يقوم المُستخدم بتصفحها
المُفاجأة كانت هي أن الفريق الأمني لشركة Heimdal Security اكتشف بأن برمجية “مزار” الخبيثة لا تعمل على الهواتف التي تعتمد اللغة الروسية في واجهاتها. مما يعني أن مُشغّلي هذه البرمجية (الإيرانيين) لا يُريدون لها إيذاء الرّوس، وهو ما قد يُشير بأن الجهة الناشرة للبرمجية قد تكون تابعة للحكومة الإيرانية نفسها وليست مجموعة عشوائية من القراصنة، وهو ما يُعرف في عالم الأمن الرقمي بـ “الهجمات التي ترعاها حكومات” State-sponsored attacks.
قد تكون هذه الهجمة نوع جديد من الإرهاب الإلكتروني كامتداد للإرهاب الفعلي الذي تُمارسه إيران، أما لماذا يقوم القراصنة بإرسال الرسائل لأرقام عشوائية في العالم؟ تعتقد شركة Heimdal Security بأن القائمين على الهجمة يختبرون حاليًا هذه البرمجية الخبيثة على نطاق واسع لاختبار كيفية عملها بهدف تحسين تكتيكاتهم ثم استخدام الهجمة مُجددًا بعد تحسينها بشكلٍ يستهدف الضحايا بشكلٍ أدق.
كيفية الحماية من برمجية مزار الخبيثة؟
لحسن الحظ، فإن الحماية من هذه الهجمة سهلة جدًا، ويُمكن ذلك من خلال اتباع النصائح التالية:
لا تضغط على أي رابط يصلك عبر رسالة SMS أو MMS
قم بتعطيل الخيار الذي يُتيح تثبيت التطبيقات من مصادر خارجية (في حال كان مُفعلًا) بالتوجه إلى إعدادات الهاتف، ثم اختيار إعدادات الأمن Security ثم قم بتعطيل الخيار Unknown Sources “مصادر غير معروفة”