- كشف باحثو ESET عن حملة تجسس تستهدف أجهزة أندرويد، وتستغل أساليب الاحتيال العاطفي لاستهداف الأفراد في باكستان.
- تعتمد الحملة على برنامج التجسس GhostChat، الذي يتيح مراقبة سرية للجهاز، مما يسمح للمهاجم برصد النشاط واستخراج البيانات الحساسة.
-كشف تحقيق ESET عن أنشطة أخرى نفذها نفس المهاجم: هجوم باستخدام برنامج ClickFix، الذي يخدع المستخدمين لتنفيذ برمجيات خبيثة على أجهزتهم
-هجوم آخر على تطبيق واتساب يستغل خاصية ربط التطبيق بالجهاز للوصول إلى الرسائل الشخصية للضحايا.
كتب : باسل خالد
كشف باحثو ESET عن حملة تجسس تستهدف أجهزة أندرويد، وتستغل أساليب الاحتيال العاطفي لاستهداف الأفراد في باكستان. تستخدم الحملة تطبيقًا خبيثًا ينتحل صفة منصة دردشة، ويتيح للمستخدمين بدء محادثات عبر واتساب. تحت ستار الرومانسية الظاهرية، يكمن الهدف الحقيقي للتطبيق الخبيث، الذي أطلقت عليه شركة ESET اسم GhostChat، في سرقة بيانات الضحايا. ويبدو أن الجهة نفسها تُدير عملية تجسس أوسع نطاقًا، تشمل هجوم ClickFix الذي أدى إلى اختراق أجهزة الضحايا، وهجوم ربط الأجهزة عبر واتساب الذي مكّن من الوصول إلى حسابات الضحايا على واتساب، ما وسّع نطاق المراقبة. وقد استخدمت هذه الهجمات مواقع إلكترونية تنتحل صفة منظمات حكومية باكستانية كطُعم. حصل الضحايا على GhostChat من مصادر مجهولة، ويتطلب تثبيته يدويًا؛ إذ لم يكن متوفرًا أبدًا على متجر جوجل بلاي، كما أن خدمة Google Play Protect، المُفعّلة افتراضيًا، توفر الحماية منه.
من جهته قال لوكاس ستيفانكو، الباحث في شركة ESET الذي اكتشف الحملة: "تستخدم هذه الحملة أسلوبًا خادعًا لم نشهده من قبل في مخططات مماثلة، حيث تُعرض ملفات تعريف نسائية مزيفة على تطبيق GhostChat على الضحايا المحتملين على أنها مقفلة، مع اشتراط إدخال رمز مرور للوصول إليها.
إلا أن هذه الرموز مُبرمجة مسبقًا في التطبيق، ما يجعلها مجرد تكتيك هندسة اجتماعية يهدف على الأرجح إلى إيهام الضحايا المحتملين بإمكانية الوصول الحصري". ويضيف: "يكشف تحقيقنا عن حملة تجسس مُستهدفة ومتعددة الأوجه تستهدف المستخدمين في باكستان".
يستخدم التطبيق أيقونة تطبيق مواعدة شرعي، ولكنه يفتقر إلى وظائف التطبيق الأصلي، ويُستخدم بدلًا من ذلك كطعم وأداة للتجسس على الأجهزة المحمولة. بمجرد تسجيل الدخول، يُعرض على الضحايا 14 ملف تعريف نسائي، يرتبط كل ملف برقم واتساب محدد برمز دولة باكستاني (+92).
يُعزز استخدام الأرقام المحلية وهم أن هذه الملفات تعود لأشخاص حقيقيين مقيمين في باكستان، ما يزيد من مصداقية عملية الاحتيال. بمجرد إدخال الرمز الصحيح، يُعيد التطبيق توجيه المستخدم إلى واتساب لبدء محادثة مع الرقم المُخصص - والذي يُفترض أنه تابع للمهاجم.
أثناء استخدام الضحية للتطبيق، وحتى قبل تسجيل الدخول، يبدأ برنامج التجسس GhostChat بالعمل في الخلفية، مراقبًا نشاط الجهاز بصمت، ومُسربًا البيانات الحساسة إلى خادم تحكم. إلى جانب التسريب الأولي، يمارس GhostChat التجسس النشط: فهو يُنشئ نظام مراقبة للمحتوى لرصد الصور المُنشأة حديثًا، ويُحمّلها فور ظهورها. بالإضافة إلى ذلك، يُجدول مهمة دورية لفحص المستندات الجديدة كل خمس دقائق، مما يضمن المراقبة المستمرة وجمع البيانات.
ترتبط هذه الحملة أيضًا ببنية تحتية أوسع تشمل نشر برامج ضارة تعتمد على ClickFix، وتقنيات اختراق حسابات واتساب. تستغل هذه العمليات مواقع ويب مزيفة، وانتحال صفة السلطات الوطنية، وربط الأجهزة الخادع عبر رمز الاستجابة السريعة (QR code) لاختراق منصات سطح المكتب والهواتف المحمولة. ClickFix هي تقنية هندسة اجتماعية تُخدع المستخدمين لتنفيذ تعليمات برمجية خبيثة يدويًا على أجهزتهم باتباع تعليمات تبدو شرعية.
بالإضافة إلى استهداف أجهزة الكمبيوتر المكتبية عبر هجوم ClickFix، استُخدم نطاق خبيث في عملية استهدفت مستخدمي واتساب عبر الهواتف المحمولة. تم استدراج الضحايا للانضمام إلى مجتمع وهمي - ينتحل صفة قناة تابعة لوزارة الدفاع الباكستانية - عن طريق مسح رمز الاستجابة السريعة (QR code) لربط أجهزتهم التي تعمل بنظام أندرويد أو آيفون بتطبيق واتساب ويب أو سطح المكتب. تُعرف هذه التقنية باسم GhostPairing، وتتيح للمهاجم الوصول إلى سجل محادثات الضحايا وجهات اتصالهم، ما يمنحه نفس مستوى الرؤية والتحكم في الحساب الذي يتمتع به أصحابه، وبالتالي اختراق اتصالاتهم الخاصة.
