تعتبر Cellik واحدة من أحدث التهديدات في عالم البرمجيات الخبيثة، حيث تستغل متجر جوجل بلاي لتوزيع تطبيقات ضارة. في هذا المقال، نستعرض كيفية عمل هذه البرمجية وطرق الدفاع ضدها.
تستخدم برامج التحكم عن بُعد (RAT) كخدمة متجر جوجل بلاي لبناء إصدارات مصابة من تطبيقات أندرويد.
اسم هذه البرمجية هو “Cellik”، وقد تم تناولها هذا الأسبوع في بحث نشره دانييل كيلي، زميل بحث في شركة أمان الهواتف المحمولة iVerify. ليست البرمجيات الخبيثة على أندرويد جديدة، لكن ما يجعل هذه البرمجية مميزة هو أنها، بالإضافة إلى الوظائف الأساسية المعتادة مثل التحكم الكامل في الجهاز المستهدف، تتكامل مع متجر جوجل بلاي بحيث يمكن للمهاجمين دمجها مع تطبيقات شرعية.
تعتبر Cellik واحدة من فئة متزايدة من عروض المهاجمين “كخدمة”. يمكن للجرائم الإلكترونية ذات المستوى المنخفض الآن دفع ثمن نسخ جاهزة من كل شيء بما في ذلك برامج الفدية، وأدوات سرقة البيانات، ومجموعات التصيد، والبنية التحتية للتحكم، وأكثر من ذلك.
أشار كيلي إلى أن Cellik هي جزء من اتجاه أكبر لبرمجيات أندرويد الخبيثة، وهو مجال نضج إلى النقطة التي “يمكن فيها حتى للمهاجمين ذوي المهارات المنخفضة الآن تشغيل حملات تجسس متنقلة بجهد ضئيل.”
كيف تعمل Cellik RAT
بمجرد أن يتمكن المهاجم من تثبيت Cellik على جهاز أندرويد للضحية، يتم منح المهاجم “تحكم كامل”، كما أوضح مدونة iVerify. يمكنه بث شاشة الضحية مباشرة إلى المهاجم، الذي يمكنه بعد ذلك التحكم عن بُعد في الجهاز كما لو كان يمسكه بنفسه.
كما أن مشغل Cellik لديه وصول إلى مسجل المفاتيح، وجميع الإشعارات على الشاشة (بما في ذلك تاريخ التنبيهات لأي تطبيق)، ورموز المرور لمرة واحدة، ونظام ملفات الجهاز بالكامل، وبيانات المتصفح الحساسة (مثل الكوكيز وبيانات الملء التلقائي). بشكل أساسي، أي شيء يمكن للمستخدم الوصول إليه، سيكون المهاجم الناجح قادرًا عليه أيضًا.
“يمكن للمتحكم تصفح جميع الملفات على الجهاز، وتحميل أو تنزيل الملفات، وحذف البيانات، وحتى الوصول إلى أدلة التخزين السحابي المرتبطة بالهاتف. تتم جميع عمليات نقل الملفات والاستخراج بتشفير لتجنب الكشف،” كتب كيلي. علاوة على ذلك، “يمكن للمهاجم التنقل عن بُعد إلى مواقع الويب، والنقر على الروابط، وملء النماذج من خلال هذا المتصفح المخفي، كل ذلك دون أن يرى مالك الهاتف أي نشاط على شاشته.”
ليست أي من هذه الميزات مبتكرة بحد ذاتها، لكن Cellik تصبح خطيرة بشكل خاص مع وظائف حقن التطبيقات ومتجر جوجل بلاي. تتيح الميزة الأولى للمهاجم وضع تراكبات ضارة فوق تطبيقات أخرى على الهاتف المخترق، مثل شاشات تسجيل الدخول المزيفة التي تجمع بيانات الاعتماد. كما تتضمن أداة حقن يمكن تخصيصها لتطبيقات مختلفة.
في جبهة جوجل بلاي، تتضمن RAT-as-a-service منشئ .apk تلقائي يمكنه تصفح متجر جوجل بلاي مباشرة، وتنزيل التطبيقات الشرعية، ووضع غلاف حمولة Cellik حولها، وتجميعها لتوزيعها على ضحايا محتملين آخرين.
“يدعي البائع أن Cellik يمكن أن تتجاوز ميزات أمان جوجل بلاي عن طريق تغليف حمولتها في تطبيقات موثوقة، مما يعطل بشكل أساسي اكتشاف Play Protect،” كتب كيلي. “بينما عادةً ما تشير Play Protect إلى التطبيقات غير المعروفة أو الضارة، قد تنزلق التروجان المخفية داخل حزم التطبيقات الشهيرة عبر المراجعات الآلية أو الماسحات الضوئية على مستوى الجهاز.”
يخبر كيلي Dark Reading أن هذه التطبيقات الضارة تُوزع عادةً في أماكن من المحتمل أن يقوم المستخدمون بتثبيتها بشكل جانبي. “بمجرد تثبيتها، تعمل بهدوء في الخلفية وتتصل بنظام المهاجم. لا تعتمد على الاستغلالات – فقط الهندسة الاجتماعية وثقة المستخدم.”
نقاط رئيسية، والدفاع ضد Cellik
توضح مدونة iVerify أنه بينما تقدم RATs الأخرى بعض القدرات المماثلة للمشترين، فإن Cellik بارزة لميزاتها في متجر جوجل بلاي وعمق الميزات مقابل التكلفة، التي تتراوح من 150 دولارًا لشهر واحد إلى 900 دولار للاشتراك مدى الحياة.
بالنسبة للمدافعين، على الرغم من أن منتجات أمان الهواتف المحمولة قد تكتشف البرمجيات الضارة مثل Cellik، فإن أفضل نصيحة قد تكون البقاء على اطلاع على تكتيكات الهندسة الاجتماعية ومراقبة ما تقوم بتنزيله.
“التزم بمتاجر التطبيقات الرسمية لتقليل التعرض للتطبيقات الضارة. تجنب التثبيت الجانبي ما لم يكن ذلك ضروريًا تمامًا، وإذا كان يجب عليك تثبيت APKs يدويًا، تحقق من التجزئات والتوقيعات قبل القيام بذلك،” يقول كيلي. “وجود حل [كشف واستجابة النقاط النهائية] يساعد أيضًا بحيث يمكنه الإشارة إلى المشكلات عندما يبدأ المستخدم في تنزيل ويخفف من القضايا مبكرًا إذا تمكن تطبيق ضار من التسلل.”
للحماية من Cellik وغيرها من البرمجيات الضارة، من الضروري البقاء على اطلاع دائم بأحدث تقنيات الهندسة الاجتماعية ومراقبة التطبيقات التي تقوم بتنزيلها.
