التكنولوجيا وتقنية المعلومات | الأربعاء 31 يوليو, 2019 9:35 صباحاً |

 قد تكون برامج تهديد الفدية (الرانسموير) في نظام التشغيل أندرويد في انخفاض منذ عام 2017 - ولكن في الآونة الأخيرة ، اكتشف الباحثون في شركة «إسيت»  ESET عائلة جديدة لتهديدات الفدية Android / Filecoder.C. باستخدام قوائم جهات الاتصال الخاصة بالضحايا، ويحاول الفيروس الانتشار أكثر عبر الرسائل النصية القصيرة التي تحتوي على روابط ضارة.

 

إنتشر تهديد الرانسموير الجديد عبر الروابط ذات الصلة الإباحية. و أبلغت «إسيت» في تقرير عن الملف الضار المستخدم في حملة توزيع برنامج الفدية ولكنه لا يزال نشطًا. ولفترة قصيرة من الوقت، كانت الحملة تعمل أيضًا على منتدى "XDA developers"، وهو منتدى لمطوري أنظمة أندرويد. ووفقاً لتقرير«إسيت»، أزال المشغلون المشاركات الضارة.

وعلق "لوكاس ستيفانكو" الباحث لدى شركة «إسيت» الذي قاد التحقيق ، وقال: "الحملة التي اكتشفناها صغيرة وتنتمي للهواة إلى حد ما. و التهديد نفسه معيب – وبشكل خاص من ناحية التشفير الذي يتم تنفيذه بشكل سيء. ويمكن استرداد أي ملفات مشفرة دون مساعدة من المهاجمين.ورغم ذلك  إذا قام المطورون بإصلاح العيوب وأصبح التوزيع أكثر تقدمًا، فقد تصبح هذه الفدية الجديدة تهديدًا خطيرًا."

 

الفدية الجديدة جديرة بالملاحظة بالنظر لآلية إنتشاره. قبل أن يبدأ بتشفير الملفات، يرسل التهديد مجموعة من الرسائل النصية إلى كل عنوان في قائمة جهات اتصال الضحية، مما يجذب المستلمين للنقر على رابط ضار يؤدي إلى ملف تثبيت لتهديد الرانسموير. و قال "لوكاس ستيفانكو": "من الناحية النظرية، يمكن أن تؤدي تلك الطريقة إلى حدوث فيضان من الإصابات - وأكثر من ذلك بحيث تحتوي البرمجيات الضارة على 42 إصدار لغة من الرسالة الضارة. ولحسن الحظ، يلاحظ المستخدمين أن الرسائل تُترجم بشكل سيئ، وأن بعض الإصدارات لا يبدو لها أي معنى".

إلى جانب آلية الانتشار الغير التقليدية، يحتوي Android / Filecoder.C على بعض الحالات الشاذة في تشفيره. يستثني الأرشيفات الكبيرة (أكثر من 50 ميجابايت) والصور الصغيرة (أقل من 150 كيلوبايت)، وقائمة "أنواع الملفات المراد تشفيرها" تحتوي على العديد من الإدخالات غير المرتبطة بنظام أندرويد بينما تفتقر أيضًا إلى بعض الامتدادات النموذجية لنظام أندرويد. ولاحظ "ستيفانكو": "على ما يبدو أنه تم نسخ القائمة من تهديد الفدية السيئ السمعة WannaCry".

 

هناك أيضًا عناصر أخرى مثيرة للاهتمام في النهج الغير التقليدي الذي استخدمه مطورو هذه البرامج الضارة. بخلاف برامج الفدية لنظام أندرويد التقليدية، لا يمنع Android / Filecoder.C المستخدم من الوصول إلى جهازه عن طريق قفل الشاشة. و لايتم تعيين الفدية كقيمة ثابتة. بدلاً من ذلك، يتم إنشاء المبلغ الذي يطلبه المهاجمون مقابل الوعد بفك تشفير الملفات بشكل ديناميكي باستخدام "تعريف المستخدم" المعيّن (UserID) بواسطة الرانسموير للضحية المعيّنة. ينتج عن هذه العملية مبلغ فدية فريد، حيث يقع في حدود 0.01-0.02 بيتكوين.

 

وأضاف "ستيفانكو": "إن خدعة الفدية الفريدة هي رواية لم نرها من قبل في أي فدية من نظام أندرويد. ومن المحتمل أن يكون الغرض منها دفع مبالغ للضحايا. عادةً ما يتم حل هذه المهمة عن طريق إنشاء محفظة بيتكوين فريدة لكل جهاز مشفر. وفي هذه الحملة، لم نر سوى محفظة بيتكوين واحدة قيد الاستخدام ".

ووفقًا للباحث "لوكاس ستيفانكو"، فإن المستخدمين الذين لديهم أجهزة محمية بواسطة حل ESET Mobile Security في مأمن من هذا التهديد. "إنهم يتلقون تحذيرًا بشأن الرابط الخبيث؛ إذا تجاهلوا التحذير وقاموا بتنزيل التطبيق، فإن الحل الأمني سيمنع حدوث ذلك".

 

يوضح هذا الاكتشاف أن الرانسموير لا يزال يشكل تهديدًا للأجهزة المحمولة التي تعمل بنظام التشغيل أندرويد. و للابقاء على الحماية يجب على المستخدمين الالتزام بمبادئ الأمان الأساسية:

حافظ على تحديث أجهزتك، فقم بإعدادها بشكل مثالي على التصحيح والتحديث تلقائيًا حتى تظل محميًا.

إذا كان ذلك ممكنًا، فاستمر في استخدام جوجل بلاي أو غيره من متاجر التطبيقات المشهورة. قد لا تكون هذه الأسواق خالية تمامًا من التطبيقات الضارة، ولكن لديك فرصة جيدة لتفاديها.

قبل تثبيت أي تطبيق، تحقق من تقييماته ومراجعاته. ركز على العناصر السلبية لأنها غالبًا ما تأتي من مستخدمين شرعيين، في حين أن المهاجمين يقومون بتكوين ردود فعل إيجابية.

التركيز على الأذونات المطلوبة من قبل التطبيق. إذا بدت غير كافية لوظائف التطبيق، فتجنب تنزيله.

استخدم حلًا آمنًا لحماية الأجهزة المحمولة لحماية جهازك.