عادت مسألة أمن أجهزة أندرويد إلى دائرة الضوء بعد اكتشاف حملة تجسس رقمية متطورة تم تنسيقها من كوريا الشمالية. بطل هذه المؤامرة المعقدة هو KosPy، وهو برنامج تجسس متنكر في صورة تطبيقات شرعية، نجح في إصابة آلاف الهواتف المحمولة في جميع أنحاء العالم، وجمع البيانات الشخصية والسرية من المستخدمين في مختلف البلدان. في هذه المقالة الموسعة، سنقوم بتفصيل كل ما نعرفه عن KosPy، من أصله وطريقة توزيعه والقدرات التقنية إلى التدابير المتخذة لوقف انتشاره، إلى جانب التوصيات المفيدة لحماية نفسك من التهديدات المماثلة في المستقبل.
إذا سبق لك تنزيل تطبيق لإدارة ملفاتك أو تحسين أمان جهاز Android الخاص بك من متاجر مثل متجر Google Play أو منصات بديلة، فهذا يثير اهتمامك بشكل كبير. دعونا نراجع كيف تمكن برنامج التجسس هذا من التهرب من ضوابط الأمن، ونوع المعلومات التي كان قادرًا على جمعها، ولماذا يعتبر تهديدًا مرتبطًا بالاستخبارات الكورية الشمالية، وكيفية اكتشاف علامات التحذير قبل فوات الأوان.
ما هو KosPy ومن يقف وراءه؟
KosPy هو برنامج تجسس تم اكتشافه على أجهزة Android ومرتبط بشكل مباشر بمجموعات التجسس الإلكتروني المدعومة من الدولة في كوريا الشمالية. تم توثيق وجوده من قبل فريق Lookout، وهي شركة أمن سيبراني متخصصة في تهديدات الأجهزة المحمولة، والتي اكتشفت أن هذا البرنامج الخبيث موجود على تطبيقات تبدو غير ضارة ومتوفرة على متجر Google Play ومتاجر التطبيقات التابعة لجهات خارجية، مثل APKPure.
يُنسب KosPy في المقام الأول إلى مجموعة تُعرف باسم APT37 أو ScarCruft، والتي تحظى باعتراف واسع النطاق بسبب عمليات التجسس الإلكتروني المرتبطة بالحكومة الكورية الشمالية لأكثر من عقد من الزمان. ليس هذا فقط: تشترك البنية التحتية الرقمية التي يستخدمها KosPy في الاتصالات مع مجموعة مشهورة أخرى، Kimsuky (APT43)، مما يدل على مستوى التنسيق والموارد الفنية التي لا تستطيع سوى الجهات الحكومية توفيرها.
طرق التوزيع: هكذا تسلل KosPy إلى آلاف أجهزة Android
تكمن براعة KosPy (وخطورته) في طريقة انتشاره، حيث تمكن من التغلب على ضوابط Google الصارمة والتسلل كما لو كان تطبيقًا حقيقيًا.، وهي مشكلة تعرض الثقة الممنوحة لمتاجر التطبيقات الرسمية للخطر.
ومن بين التقنيات الأكثر شهرة:
- تطبيقات احتيالية متخفية في صورة أدوات مساعدة (مديري الملفات، وأدوات تحديث البرامج، وتحسينات الأمان، وما إلى ذلك).
- وجود الواجهات الأساسية والعناوين باللغتين الإنجليزية والكورية، والتي تستهدف جمهورًا محددًا.
- بما في ذلك KosPy في تطبيقات مثل «مدير الهاتف المحمول (مدير الهاتف)», «إدارة الملفات"المدير الذكي (المدير الذكي)», «كاكاو سيكيوريتي (كاكاو سيكيورتي)» و «أداة تحديث البرامج«. تمت الموافقة على جميعها بشكل شرعي على متجر Google Play وحتى تم نسخها على APKPure.
- التلاعب بالمنصة Firebase كبنية أساسية للتحكم والقيادة (C2) وتنزيل التكوينات الإضافية بشكل ديناميكي بمجرد تثبيت التطبيق على جهاز الضحية.
يعمل المطور وراء هذه التطبيقات تحت اسم مستعار "Android Utility Developer"، حتى أنه يقدم عناوين البريد الإلكتروني للاتصال دون أن يلاحظها أحد. وبعد تنبيه الباحثين، لم تقم جوجل بإزالة جميع التطبيقات المصابة من متجرها فحسب، بل قامت أيضًا بتعطيل مشاريع Firebase المرتبطة بها، وبالتالي قطع قناة الاتصال بين الأجهزة المصابة وخوادم مجرمي الإنترنت.
كيف يتصرف KosPy بمجرد إصابة الجهاز؟
المخاوف الرئيسية المحيطة بـ KosPy هي النطاق الواسع من البيانات التي يمكنه جمعها وتعقيد طرق استخراجها. عندما تفتح أحد هذه التطبيقات المزيفة، يتم تشغيل KosPy في الخلفية، ويقوم بتضمين الكود الخبيث الخاص به ليظل غير مكتشف ويطلب أذونات وصول مرتفعة.
ومن بين أهم القدرات التقنية لبرامج التجسس ما يلي:
- قراءة واستخراج الرسائل النصية القصيرة.
- الحصول على سجلات المكالمات وجهات الاتصال.
- مراقبة موقع GPS، تتبع المستخدم في الوقت الحقيقي.
- تحولت الملفات والمجلدات المخزنة محليًا على الهاتف.
- تسجيل الصوت المحيط استخدام الميكروفون والتقاط الصور من خلال الكاميرا.
- القبض على لقطات الشاشة وتسجيلات الشاشة، يتجسس حرفيًا على كل ما يتم مشاهدته أو القيام به على الهاتف المحمول.
- تسجيل ضغطات المفاتيح واستخدام التطبيقات من خلال استغلال خدمات إمكانية الوصول، مما قد يسمح باعتراض كلمات المرور وبيانات الاعتماد.
- الحصول على معلومات حول شبكات WiFi التي يتصل بها الجهاز و قائمة التطبيقات المثبتة.
يتم نقل البيانات مشفرة (باستخدام خوارزمية AES محددة مسبقًا) إلى خوادم C2 التي يسيطر عليها قراصنة من كوريا الشمالية، مما يجعل من الصعب الكشف التقليدي عن تسرب المعلومات.
من كان يستهدف KosPy؟
على الرغم من انتشار KosPy عالميًا، إلا أن معظم الهجمات استهدفت المستخدمين الناطقين باللغتين الكورية والإنجليزية.. وكانت لغة التطبيقات والأذونات المطلوبة أحد الأدلة المستخدمة لتصفية الضحايا المحتملين، الذين كانوا يستهدفون بوضوح كوريا الجنوبية والدول الناطقة باللغة الإنجليزية. ومع ذلك، تتضمن التحليلات أيضًا تفاصيل الإصابات في مناطق أخرى، بما في ذلك اليابان وفيتنام وروسيا ونيبال والصين والهند والكويت ورومانيا والعديد من دول الشرق الأوسط.
وهذا يشير إلى المصلحة الاستراتيجية على المستوى الدولي، إما للوصول إلى المعلومات الشخصية ذات الصلة أو للتجسس على الحركات السياسية أو التجارية أو التكنولوجية.
تطور الحملة ورد فعل جوجل
يعود تاريخ أول حركة موثقة لـ KosPy إلى مارس 2022، على الرغم من أن العينات الأحدث تم تتبعها إلى أوائل العام الماضي.. وبحسب جوجل وLookout، بمجرد التأكد من وجود البرامج الضارة، تمت إزالة جميع التطبيقات المرتبطة من متجر Play. بالإضافة إلى ذلك، يقوم Google Play Protect حاليًا بحظر تثبيت إصدارات KosPy المعروفة، حتى إذا تم تنزيلها من خارج المتجر الرسمي.
ومع ذلك، لا توجد بيانات عامة حول عدد التنزيلات التي حدثت قبل الانسحاب أو عدد المتغيرات التي ربما انتشرت دون أن يتم اكتشافها.. لذلك، يوصى بمراقبة أذونات التطبيقات بشكل نشط، بالإضافة إلى إبقاء نظام Android وجميع التطبيقات محدثة بإصدارات الأمان الأحدث.
العلاقة بين KosPy وScarCruft (APT37) وKimsuky (APT43) والمخابرات الكورية الشمالية
إن نسب KosPy إلى التجسس السيبراني للدولة الكورية الشمالية مدعوم بالعديد من التفاصيل التقنية والبنية الأساسية:
- تم استخدام البنية التحتية المستخدمة (عناوين IP والمجالات لخوادم C2) في الهجمات السابقة المنسوبة إلى كوريا الشمالية منذ عام 2019 على الأقل.
- تشارك التطبيقات الضارة التقنيات والتكتيكات والإجراءات (TTPs) مع حملات ScarCruft/APT37.
- وقد تم أيضًا ربط بعض التعليمات البرمجية والبنية الأساسية بـ Kimsuky/APT43، مما يشير إلى التعاون المحتمل أو مشاركة الموارد بين المجموعتين.
- وتتناسب اللغة والتركيز الإقليمي ونوع المعلومات المسروقة مع المصالح المرتبطة تقليديا بالاستخبارات الكورية الشمالية.
إن هذا التداخل في الأساليب والأهداف بين مجموعات التهديدات المتقدمة المستمرة من كوريا الشمالية يعني في بعض الأحيان أن نسب هجوم محدد ليس دقيقًا بنسبة 100%، ولكن المصدر واضح لخبراء الأمن.
قائمة التطبيقات المصابة الأكثر صلة
إذا كانت لديك أسئلة حول التطبيقات التي قمت بتثبيتها على جهاز Android الخاص بك، فراجع هذه الأسماء، والتي تم تأكيدها في تقارير Lookout ونشرتها وسائل الإعلام:
- 휴대폰 관리자 (مدير الهاتف)
- إدارة الملفات
- 스마트 관리자 (المدير الذكي)
- كاكاو سيكيوريتي
- أداة تحديث البرامج
تم توزيع هذه التطبيقات في كلا متجر Google Play كما هو الحال على المنصات تنزيل البدائل، مثل APKPure. إذا اكتشفت أيًا من هذه البرامج على جهازك، فاحذف التطبيق فورًا وقم بتغيير جميع كلمات المرور. قم أيضًا بإجراء فحص أمني باستخدام تطبيق حسن السمعة.
ما نوع المعلومات التي سرقها KosPy وكيف فعل ذلك؟
إن مستوى الوصول وحجم البيانات التي تم جمعها بواسطة KosPy يتجاوز بكثير ما هو نموذجي للبرامج الضارة الشائعة للأجهزة المحمولة. ومن بين المعلومات المستخرجة:
- الرسائل النصية (الرسائل القصيرة وخدمات المراسلة الأخرى المحتملة)
- التفاصيل الكاملة لسجلات المكالمات: الأرقام والمدة والوقت والتاريخ
- إحداثيات موقع الهاتف المحمول في الوقت الحقيقي
- المستندات والصور والملفات من وحدة التخزين الداخلية
- الأصوات الملتقطة من الميكروفون: المحادثات، والأجواء المحيطة، وما إلى ذلك.
- الصور الملتقطة عندما تم تفعيل الكاميرا في الخلفية
- التقاط الشاشة والتسجيلات، مما يسمح لك برؤية كل ما شاهده المستخدم أو كتبه
- تسجيل المفاتيح وإساءة استخدام أذونات إمكانية الوصول
- معلومات شبكة Wi-Fi وقائمة التطبيقات المثبتة
وبالإضافة إلى ذلك، تم إرسال كل هذه المعلومات مشفرة إلى خوادم القيادة والتحكم (C2) عبر قنوات محمية، مما يجعل من الصعب اكتشافه باستخدام أدوات مكافحة الفيروسات التقليدية.
نصائح رئيسية لتجنب الوقوع في فخاخ مثل KosPy
ويوصي الخبراء والمحللون الذين تمت استشارتهم بعد اكتشاف KosPy بالحذر الشديد، حيث إن تثبيت التطبيقات فقط من متجر Google Play لا يضمن الأمان المطلق. تتضمن النصائح ما يلي:
- تحقق دائمًا من مراجعات وتقييمات التطبيقات، وكن حذرًا من التطبيقات التي تحتوي على تعليقات قليلة أو تقييمات سلبية.
- تحقق من اسم المطور، وابحث عن معلومات إضافية عنه، وتأكد من أنه كيان موثوق به ومعترف به.
- انتبه إلى عدد التنزيلات: إذا كان التطبيق جديدًا أو لديه معدلات تنزيل منخفضة جدًا، فكن حذرًا للغاية.
- تأكد من أن نظام التشغيل والتطبيقات لديك محدثة دائمًا، حيث يتم إصلاح معظم الثغرات الأمنية عبر التصحيحات الرسمية.
- امنح الأذونات الأساسية فقط لكل تطبيق. إذا طلب تطبيق إدارة الملفات الوصول إلى الميكروفون أو الكاميرا، فهذا سبب للقلق.
- إذا كان لديك أي من التطبيقات المصابة المثبتة، فقم بإزالتها على الفور، وقم بتغيير كلمات المرور الخاصة بك، وقم بإجراء فحص أمني كامل.
- فكر في تثبيت حل أمان جوال موثوق به لزيادة مستوى الحماية والمراقبة المستمرة.
الاستجابة العالمية والوضع الحالي
بعد التغطية الإعلامية الواسعة النطاق لـ KosPy والتحقيق الذي أجرته Lookout، عززت Google ضوابطها ونظام Play Protect، وحظرت وأزالت جميع المتغيرات المعروفة لهذا البرنامج التجسسي. وعلاوة على ذلك، فإن التعاون الدولي بين شركات الأمن السيبراني وشركات التكنولوجيا العملاقة يشكل عنصرا أساسيا في تحييد هذه التهديدات قبل أن تنتشر على نطاق واسع.
منذ إزالة KosPy، لم تظهر أي حالات جديدة من العدوى الجماعية من خلال متجر Google Play، على الرغم من أنه من الضروري أن نبقى يقظين، حيث يطور المهاجمون تقنياتهم باستمرار.
وقد سلط اكتشاف KosPy الضوء على التطور المتزايد للتجسس الرقمي في نظام Android البيئي، مما يدل على أنه لا يوجد أحد محصن ضد أن يصبح ضحية. إن التعاون بين الجهات الحكومية ومجموعات القراصنة مثل ScarCruft وKimsuky، واستغلال المتاجر الرسمية، والقدرة على إخفاء أنفسهم في صورة تطبيقات غير ضارة على ما يبدو، يؤكد على أهمية الحفاظ على نهج استباقي للحماية الرقمية.
إن المراقبة النشطة والتحليل النقدي للتصاريح والتحديث المستمر هي أفضل الحواجز ضد هذه التهديدات. شارك المعلومات حتى يكون المستخدمون الآخرون على علم بالأخبار..