
عشتارتيفي كوم- الراي/
كشفت شركة الأمن السيبراني «Group-IB» عن نسخة محدَّثة وأكثر خطورة من برمجية التجسس الخبيثة «RedHook» المخصصة لاقتحام الأجهزة التي تعمل بنظام التشغيل «أندرويد»، وهي البرمجية التي باتت قادرة على استغلال ميزة التصحيح اللاسلكي المعروفة بـ«Wireless ADB» للحصول على صلاحيات تحكم عميقة بالهاتف من دون الحاجة إلى اتصال بجهاز حاسوب أو حتى كسر حماية النظام (Root). وبحسب موقع «أندرويد أوثوريتي»، فإن هذا الأسلوب يمثل تطوراً نوعياً في تقنيات القرصنة الموجهة لأجهزة أندرويد.
وتعمل هذه الميزة، التي أُدخلت للمرة الأولى مع نظام أندرويد 11، على تمكين المطورين من التحكم بأجهزتهم عن بُعد عبر الشبكة من دون كابل يو إس بي. غير أن «RedHook» تحوّل هذه الأداة التطويرية المشروعة إلى سلاح هجومي، إذ تستغل صلاحيات «إمكانية الوصول» (Accessibility) التي تحصل عليها بعد خداع الضحية، لتقوم تلقائياً بتفعيل خيارات المطورين وتشغيل التصحيح اللاسلكي بمحاكاة نقرات المستخدم نفسه.
وبمجرد استخراج رمز الاقتران المعروض على الشاشة، تتصل البرمجية الخبيثة بخدمة «ADB» الخاصة بالجهاز عبر واجهة الاتصال الداخلية، محققة بذلك صلاحيات تشغيل على مستوى «shell» تُعرف بمعرّف المستخدم 2000، وهي صلاحيات أعلى بكثير من تلك الممنوحة عادة للتطبيقات العادية. وأوضح باحثو «Group-IB» أن البرمجية تستعين لاحقاً بإطار عمل مفتوح المصدر يُعرف باسم «Shizuku» لتشغيل خادم مميز يمنحها القدرة على منح نفسها أذونات إضافية، وتنفيذ أوامر النظام، وتثبيت أو إزالة تطبيقات بصمت تام من دون أي تنبيه يظهر للمستخدم.
ووفقاً لتقرير الشركة، تدعم النسخة الحالية من البرمجية 53 أمراً مختلفاً يصدرها الخادم المتحكم عن بُعد، إلى جانب قدرات تجسسية تقليدية تشمل بث الشاشة، وتسجيل ضغطات المفاتيح، ومحاكاة تفاعلات واجهة المستخدم، وسرقة بيانات تسجيل الدخول.
ولضمان بقائها نشطة أطول فترة ممكنة، تعتمد «RedHook» على آلية غير مألوفة أطلق عليها الباحثون اسم «الانبعاث المتبادل بين عمليتين»، حيث تعيد كل خدمة إحياء الأخرى فور إيقافها، إضافة إلى تشغيل صوت صامت في الخلفية لرفع أولوية العملية، وتعديل قيمة إدارة الذاكرة الداخلية إلى أدنى مستوى ممكن لتفادي إغلاقها تلقائياً عند نقص الذاكرة.
وانتشرت البرمجية في البداية بين مستخدمين في فيتنام قبل أن يتوسع نطاقها ليشمل إندونيسيا، إذ يعتمد المهاجمون على أساليب هندسة اجتماعية تتضمن انتحال صفة موظفي دعم أو جهات حكومية عبر رسائل نصية أو مكالمات هاتفية، لإقناع الضحايا بتثبيت تطبيق ضار من موقع مزيف يحاكي متجر «غوغل بلاي».
ويوصي الخبراء، في هذا الإطار، بجملة من الإجراءات الوقائية أبرزها:
ورغم عدم وجود ثغرة تقنية قابلة للتصحيح في هذه الحالة، يشدد الباحثون على أن خط الدفاع الأول يبقى وعي المستخدم نفسه، نظراً إلى أن الهجوم بأكمله يقوم على خداعه لا على اختراق تقني مباشر للنظام.