اكتشاف برمجية تجسس على أندرويد تتنكر كتطبيقات شهيرة وتسرق البيانات بكثافة

كشف باحثون أمنيون عن برمجية تجسس جديدة تستهدف هواتف أندرويد تحت اسم "ClayRat"، تتبع أساليب متطورة للخداع والانتشار، إذ يمكنها أن تتنكر كواجهات لتطبيقات معروفة مثل واتساب، تيك توك، يوتيوب أو خدمات صور جوجل بهدف إقناع المستخدمين بتحميلها من مواقع تبدو كمتاجر التطبيقات الرسمية.
تعتمد الحملة على صفحات تصيد متقنة الصنع تعرض نسخا مزيفة من التطبيقات مع عناصر تضليلية (عدد تحميلات مرتفع، تعليقات مزيفة...) لحث الضحية على تنزيل «تحديث» مزعوم. الملف المحمل عادة يتضمن مكونا تمهيديا (dropper) يهيئ الأرضية لتثبيت الحمولة الخبيثة لاحقا، وفي حالات عدة تستغل بعض النسخ ثغرات أو آليات لتجاوز قيود التثبيت في إصدارات أندرويد الأحدث.
بعد التثبيت تطلب "ClayRat" صلاحيات واسعة تمنحها تحكما فعليا في الهاتف: الوصول إلى الرسائل النصية، الكاميرا، سجل المكالمات، جهات الاتصال، بل وتعيين نفسها كتطبيق افتراضي لإدارة الرسائل، مما يمكنها من اعتراض وإرسال رسائل دون علم المستخدم. البرمجية تتصل بخادم تحكم عن بعد عبر قناة مشفرة وتتلقى أوامر تنفذها مثل: قراءة سجل المكالمات، التقاط صور بالكاميرا الأمامية، إرسال رسائل ومكالمات، استخراج معلومات عن التطبيقات المثبتة ومواصفات الجهاز والشبكة، ومراقبة الإشعارات.
كما تستخدم "ClayRat" وسيلة انتشار ذاتية عبر إرسال رسائل نصية جماعية تحتوي على روابط خبيثة تستغل ثقة الضحايا لزرع نسخ جديدة على أجهزة أخرى، مما يؤدي إلى انتشار سريع وشخصنة الهجمات. وبالرغم من تنبيه الباحثين لشركة غوغل ومشاركة مؤشرات الاختراق معها، وإدراج بعض العينات ضمن حماية خدمة Play Protect، لا تزال الحملة نشطة إذ سجل الباحثون أكثر من 600 نسخة للبرمجية في فترة زمنية قصيرة.
ما يميز هذه الحملة هو مزيجها من تقنيات التصيد المرئي والتجاوزات التقنية لآليات التثبيت، بالإضافة إلى قدرة البرمجية على منح نفسها صلاحيات حيوية والتحكم في قنوات اتصال المستخدمين، ما يجعلها تهديدا بالغ الخطورة لخصوصية الأفراد وسلامة الأجهزة.