في عالم التكنولوجيا المتطورة، برزت برمجيات خبيثة جديدة تدعى كينادو، والتي تمثل تهديدًا خطيرًا لأجهزة أندرويد. في هذا المقال، نستعرض تفاصيل هذا التهديد وكيف يمكن للمستخدمين حماية أنفسهم.
لقد رصد الباحثون برمجيات خبيثة جديدة مدمجة في البرنامج الثابت لأجهزة أندرويد من عدة بائعين، تقوم بحقن نفسها في كل تطبيق على الأنظمة المصابة، مما يمنح المهاجمين وصولاً غير مقيد تقريبًا عن بُعد.
تتبع كاسبرسكي البرمجيات الخبيثة تحت اسم “كينادو” بعد أن عثر عليها أثناء بحثه عن تهديدات على مستوى البرنامج الثابت لأندرويد مثل حصان طروادة للوصول عن بُعد (RAT) المعروف باسم تريادا، والذي يسرق البيانات من تطبيقات البنوك والاتصالات. كما هو الحال مع تريادا، وجدت كاسبرسكي أن كينادو يصل محملاً مسبقًا على أجهزة أندرويد من عدة – معظمها صغيرة – شركات مصنعة، وقد قامت الشركة بإخطار جميع هذه الشركات بشأن الاختراق.
تهديد على مستوى البرنامج الثابت
“تم دمج كينادو في البرنامج الثابت لجهاز أندرويد نتيجة لهجوم على سلسلة التوريد،” قالت الشركة الأمنية. “تم اختراق مرحلة من سلسلة توريد البرنامج الثابت، مما أدى إلى تضمين اعتماد ضار ضمن الشيفرة المصدرية.”
يتم استخدام هذا الملف المصاب من قبل عملية “زيغوت” الرئيسية في أندرويد – كما كان الحال مع تريادا – مما يعني أن البرمجيات الخبيثة تُنسخ تلقائيًا إلى كل تطبيق يعمل على جهاز مصاب. “قد تكون الشركات المصنعة غير مدركة أن أجهزتها كانت مصابة قبل وصولها إلى السوق،” قالت كاسبرسكي.
وفقًا لكاسبرسكي، اعتبارًا من فبراير، تم إصابة حوالي 13000 جهاز أندرويد بكينادو. أكبر عدد من المستخدمين المتأثرين يوجد في روسيا، تليها اليابان، ألمانيا، البرازيل، وهولندا. في بعض الحالات، تلقى المستخدمون أجهزة محملة مسبقًا بالبرمجيات الخبيثة، بينما في حالات أخرى، حصل المستخدمون على البرمجيات المخترقة عبر تحديثات أمان عادية عبر الهواء.
ما يجعل البرمجيات الخبيثة خطيرة بشكل خاص هو أن مؤلفيها يمكنهم توزيعها ليس فقط عبر البرنامج الثابت المسلح ولكن أيضًا مخفية في التطبيقات النظامية، بما في ذلك خدمات التعرف على الوجه وتطبيقات الإطلاق، وعبر نسخ معدلة من التطبيقات الشهيرة في المتاجر الرسمية مثل Google Play وXiaomi GetApps.
تعمل كينادو كحمولة متعددة المراحل تقوم بتنزيل حمولات لاختطاف عمليات البحث في المتصفح، وارتكاب احتيالات إعلانية، وإضافة عناصر إلى سلال التسوق وتنفيذ إجراءات أخرى دون علم المستخدم. وجدت كاسبرسكي وحدة تستهدف منصات التسوق عبر الإنترنت الكبرى مثل أمازون، شين، وتمو؛ وأخرى لمراقبة كل استعلام يتم كتابته في جوجل كروم؛ وثالثة قادرة على اعتراض تثبيت التطبيقات وإرسال روابط تتبع إلى منصات الإعلانات التي تأخذ الفضل في تلك التثبيتات.
وفقًا لكاسبرسكي، يقوم مشغلو البرمجيات الخبيثة حاليًا باستخدامها فقط للاحتيال الإعلاني من خلال استخدام الأجهزة المصابة للنقر بشكل سري على الإعلانات والحصول على أجر عن كل نقرة. لكن المهاجمين يمكنهم بسهولة استخدام البرمجيات الخبيثة لأخذ السيطرة الكاملة عن بُعد على الأجهزة المتأثرة، حذرت الشركة.
مرتبط بشبكات بوتنت أندرويد الكبرى الأخرى؟
المقلق، أن تحقيق كاسبرسكي كشف أيضًا عن وجود روابط بين كينادو وثلاثة شبكات بوتنت أندرويد رئيسية أخرى – BADBOX، تريادا، وفو1د – مما يشير إلى وجود مستوى من التنسيق بين أكبر عمليات البرمجيات الخبيثة المحمولة. وجدت الشركة الأمنية عدة حالات من BADBOX تنشر بنشاط حمولات كينادو على الأنظمة المخترقة، بالإضافة إلى أدلة تربط تريادا بـ BADBOX من خلال بنية تحتية مشتركة. “تظهر هذه النتائج أن عدة من أكبر شبكات بوتنت أندرويد تتفاعل مع بعضها البعض،” قالت كاسبرسكي. “حاليًا، أكدنا الروابط بين تريادا، فو1د، وBADBOX، بالإضافة إلى العلاقة بين كينادو وBADBOX.”
قدمت كاسبرسكي مؤشرات على الاختراق يمكن أن تساعد المستخدمين المتأثرين في التحقق مما إذا كانت أجهزتهم مصابة. في الحالات التي قد تأتي فيها الأجهزة مع كينادو محملة مسبقًا على مستوى البرنامج الثابت، فإن العلاج الوحيد هو استبدال البرنامج الثابت بالكامل. حتى يحدث ذلك، يجب على المستخدمين التوقف عن استخدام الجهاز المصاب، قالت كاسبرسكي. على الأجهزة التي قد تكون كينادو موجودة في تطبيق نظام بدلاً من البرنامج الثابت، يجب على المستخدمين محاولة العثور على بديل نظيف للتطبيق حيثما كان ذلك ممكنًا. خلاف ذلك، يجب عليهم تعطيل التطبيق المصاب تمامًا لمنع تشغيله، قالت كاسبرسكي. يمكن للمستخدمين الذين قد قاموا بتنزيل تطبيق مصاب من متجر طرف ثالث ببساطة إلغاء تثبيت ذلك التطبيق للتخفيف من التهديد.
تظل برمجيات كينادو مثالاً على كيفية استغلال الثغرات في سلسلة التوريد. من الضروري أن يبقى المستخدمون على اطلاع دائم بأحدث التهديدات وأن يتخذوا خطوات وقائية لحماية أجهزتهم.
