"بلاك روك" الصخرة السوداء ... برنامج خبيث يستهدف نظام "أندرويد" - شامل للمعلوميات

السلام عليكم:-

كشف خبراء شركة "ثيرتي فابريك" المتخصصة في أمن المعلومات ، أن الهواتف الذكية التي تعمل بنظام التشغيل "أندرويد" تتعرض الآن للهجوم من قبل برامج خبيثة من فئة أحصنة طروادة تسمى بلاك روك (الصخرة السوداء).

وأوضحوا أن البرنامج مصمم لاستهداف وسرقة أسماء المستخدمين وكلمات المرور الخاصة بـ 337 تطبيقًا شائعًا على هواتف "Android" ، وأبرزها الخدمات المصرفية والتعارف ووسائل التواصل الاجتماعي وتطبيقات المراسلة الفورية.

نشر الخبراء تفاصيل كاملة عن الهجوم على مدونة الشركة ancfabric.com/ blog ، في الوقت الذي طلبت فيه الشركة من مستخدمي أندرويد عدم تنزيل الملفات لتحديث نظام أندرويد من خارج متجر جوجل بلاي أو التحديثات المعتمدة من القناة الخارجية. لأن البرنامج الخبيث يتنكر في صورة ملف تحديث Android ، يحتوي على شعار Google ، ولا يمكن اكتشافه في متجر Google Play الرسمي ، رغم أن الخبراء لم يستبعدوا ظهوره في المتجر في وقت قصير.

الصخرة السوداء

يُظهر تحليل الخبراء أن برنامج Black Rock الخبيث ، وهو سلالة خبيثة أكثر تطوراً وخطورة ، انزلق من كود البرنامج الخبيث السابق المعروف باسم "Xrixes" ، والذي يعد بدوره توتراً تم تطويره من الشفرات الخبيثة الثلاثة السابقة. ، ومع كل امتداد جديد يتم توسيعه وتحسينه بميزات إضافية وأكثر خطورة ، خاصة فيما يتعلق بأساليب سرقة كلمات المرور والبيانات والتكتيكات الحساسة الأخرى التي تتعامل معها تطبيقات الهاتف المحمول المختلفة.

ركز هذا النوع من البرامج في المستوى السابق على سرقة واختراق التطبيقات المالية والمصرفية ، ولكن هذه المرة وسع هدفه ليشمل 377 تطبيقًا.

كيف يعمل التطبيق

يضع المجرمون هذا البرنامج في حاوية وهمية تظهر للمستخدمين كأحد ملفات تحديث نظام التشغيل "أندرويد" التي يحصلون عليها عادة من وقت لآخر ، بحيث يبدو مشابهًا للملف الذي خططت له ونشرته شركة جوجل الأمريكية ، الذي يقوم بتطوير النظام. إذا قام المستخدم بخداع الملف وتنزيله للحصول على آخر تحديث للنظام ، ثم فتح الملف لمحاولة تثبيته ، يظهر برنامج ضار يطلب من المستخدم منحه استخدام ميزة "إمكانية الوصول" الخاصة بالهاتف ، والتي تعد واحدة من أقوى ميزات نظام التشغيل ، وتستخدم لأتمتة المهام ، وأداء انقر فوق اسم المستخدم.

إذا حصل برنامج Black Rock على هذا الإذن ، فسيبدأ على الفور في منح حق الوصول إلى جميع أذونات وميزات Android الأخرى ، بما في ذلك الإذن باستخدام وحدة "DBC" أو وحدة التحكم في سياسة الجهاز ، والمعروفة أيضًا باسم "File Business Definition" ، لمنح الوصول المطلق إلى الجهاز ككل.

عند تشغيل البرنامج لأول مرة على الجهاز ، فإنه يخفي رمزه من شاشة الهاتف ومجلد التطبيقات ، مما يجعله غير مرئي للمستخدم. ثم أصبح نشطًا ومستعدًا لتلقي الأوامر من خادم C2 الإجرامي.

كيف ينتشر التطبيق

ثم بدأ البرنامج باستخدام تقنية "التراكب الخبيث" ، وهي تقنية معروفة ومثبتة أثبتت نجاحها في الهجمات السابقة ، وتسمح للبرامج الضارة بإظهار النوافذ المزيفة أمام المستخدمين ، عند بدء تشغيل برنامج معروف وشرعي على هاتفه ، حتى تظهر نافذة كواحدة من نوافذ البرنامج الشرعية نفسها ، وتضع نفسها على الشاشة ، لكتابة أسماء المستخدمين وكلمات المرور وغيرها من البيانات الحساسة ، مثل بيانات بطاقة الائتمان ، وأرقام الحسابات المصرفية ، وما إلى ذلك ، كل ذلك من قبل إذن ، يدخل المستخدم التطبيق الشرعي المقصود ، ثم تختفي الشاشة الوهمية بعد ذلك ، حتى يستأنف المستخدم عمله كالمعتاد.

بالإضافة إلى سرقة كلمات المرور والبيانات الحساسة لاستخدامها في السرقة والسرقة ، تقوم BlackRock بعمليات خطيرة أخرى للمستخدمين ، بما في ذلك اعتراض الرسائل النصية القصيرة ، وإغراق الرسائل النصية القصيرة عبر الهواتف الضحية إلى الهواتف الأخرى ، وخدمة أغراض القرصنة ، وإجراء مكالمات البريد العشوائي برسائل نصية محددة مسبقًا ، مقاطعة تشغيل تطبيقات معينة في أوقات معينة لخدمة غرض المهاجم ، وتشغيل برنامج سجل الحركة على keylogger ، والتحكم في إشعارات الدفع المخصصة ، وتخريب تطبيقات مكافحة الفيروسات المثبتة على الهاتف. يوجه الضحية إلى الشاشة الرئيسية للهاتف في كل مرة يحاول فيها البدء في استخدام برنامج مكافحة الفيروسات المتضمن في القائمة التي أكملها.

من هم المستهدفين من قبل هذا التطبيق الخبيث

يكشف خبراء الشركة أن البرامج الخبيثة تركز عملياتها على استهداف التطبيقات ذات الصلة بالبنك العاملة في أوروبا ، ثم أستراليا ، ثم الولايات المتحدة وكندا ، ثم مناطق أخرى من العالم ، بترتيب تنازلي للهجوم ، وبعد التطبيقات المالية جاء التسوق و تطبيقات خدمات الأعمال ، وخدمات بيع السيارات عبر الإنترنت ، وخدمات البريد الإلكتروني المعروفة.