حصان طروادة يصيب أجهزة اندرويد في الصين

أصاب حصان طروادة (Trojan) أطلق عليه Geinimi العديد من أجهزة اندرويد في الصّين. يقوم هذا البرنامج بسرقة معلومات مستخدم الجهاز الشّخصيّة ويقوم بإرسالها إلى خادم بعيد. بعد تحميل البرنامج على جوّال بإمكانه استقبال أوامر تسمح لصاحب الخادم بالتّحكم في الجوّال. حتى الآن الغاية من هذا البرنامج غير واضحة، ولكن الاحتمالات تتراوح ما بين شبكة إعلانات خبيثة إلى محاولة إنشاء شبكة (botnet) على أجهزة أندرويد.

كيف يعمل؟

عندما يتمّ تشغيل تطبيق يحتوي على الحصان، يقوم الحصان بالعمل في الخلفية ويبدأ بجمع معلومات قد تؤدي الى كشف خصوصيّة المستخدم. المعلومات التي يقوم بجمعها تشمل: احداثيّات الموقع، الرقم الخاص بالجوّال IMEI و الشّريحة IMSI.

يقوم Geinimi كل 5 دقائق بمحاولة الاتصال بخادم ما من خلال قائمة متضمَّنة تحتوي على عشرة نطاقات. هذه قائمة ببعض هذه النّطاقات www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com and www.piajesj.com. اذا تمّ الاتصال (بنجاح) بأحد هذه النّطاقات،فإن Geinimi يقوم بإرسال معلومات الجوّال إلى الخادم.

خلال تحليل شركة Lookout لكود Geinimi (والذي لا زال مستمراً)، اظهر البرنامج القدرات التّالية:
1- ارسال احداثيّات الموقع
2- رسال معرّفات الجوّال
3- تحميل وإظهار رسالة للمستخدم تطلب تحميل تطبيق
4- اظهار رسالة تطلب من المستخدم إزالة تطبيق
5- ارسال قامة بالتّطبيقات المثبّتة على الجوّال إلى الخادم

مطوّروا Geinimi رفعوا درجة تعقيده باستخدامه تقنيات اخفاء لنشاطاته، بالإضافة لكل كميّة كبيرة من معلومات الإدارة والتحكم قد تمّ تشفيرها. كل هذه التقنيات قد تمّ كشفها ولم تفشل عملية تحليل البرنامج ولكنّها رفعت بشكل كبير من مقدار الوقت الذي تحتاجه العملية.

من المصابون؟

حاليّاً هناك ادلّة على كون Geinimi قدّ تمّ توزيعه من خلال مستودع تطبيقات طرف ثالث في الصين. لتحميل تطبيقات الطّرف الثالث، على مستخدم اندرويد تفعيل امكانيّة تحميل التطبيقات من طرف ثالث. يمكن تحميل Geinimi في تطبيقات في مستودعات أخرى في دول متعدّدة ولكن من غير الظّاهر ان الحال كذلك حتى اللحظة.

كيف تقي نفسك؟

1- لا تقم بتحميل أي تطبيق إلّا من المستودعات التي تثق بها.
2- دائماً افحص الصّلاحيّات التي يطلبها التّطبيق.
3- راقب جوّالك وكن متيقظاً لأي تصرف غريب قد يظهر عليه. مثلاً مشاهدات تطبيقات لا تعرفها مثبّتة عليه، مكالمات صادرة دون ان تكون انت من قام بذلك.
4- حمّل تطبيقات حماية على جوّالك.

لمزيد من المعلومات

http://blog.mylookout.com/

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (2)

  1. يقول Hit-Man:

    السلام عليكم أخي بشار
    شكرا أخي بشار على المقال
    حسب ما علمة أن تروجان يستهدف الهواتف الذكية التي تعمل بانظمة Android قادر على الحصول على بيانات شخصية من الهواتف الذكية و ارسالها الى اتصال بعيد remote server .

    • يقول بشار:

      وعليكم السلام ورحمة الله وبركاته

      هو كذلك أخي. هذا بالإضافة إلى امكانيّة تلقيه أوامر من الخادم البعيد.

      شكراً لمرورك.

أكتب تعليق