اكتشف الباحثون من شركة «إسيت» ESET عملية جديدة ضمن حملة تجسس سيبرانية طويلة المدة في الشرق الأوسط، و يبدو انها متصلة إلى مجموعة تهديد معروفة باسم غزة هاكرز أو موليراتس.

إن الأداة المساعدة في العملية عبارة عن تطبيق لنظام أندرويد يدعى "Welcome Chat"، والذي يعمل كبرنامج تجسس بينما يقدم خدمات الدردشة المتعارف عليها. يدعي الموقع الضار الذي يروج ويوزع التطبيق أنه يقدم منصة دردشة آمنة متاحة على متجر جوجل بلاي. ووفقًا للباحثين في «إسيت»، كلتا الادعاءات كاذبة فلا يمكن أن يكون الادعاء بـ "الأمان" ينطبق هنا.

وصرح "لوكاس إستيفانكو"، الباحث في شركة «إسيت» والذي أجرى التحليل و البحث حول تطبيق"Welcome Chat"، وقال: "بجانب أن التطبيق المذكور أداة تجسس، فلقد ترك مشغلوها البيانات التي تم جمعها من ضحاياهم متاحة مجانًا على الإنترنت. والتطبيق لم يكن متاحًا أبدًا على متجر تطبيقات أندرويد الرسمي".

يتصرف تطبيق "Welcome Chat" مثل أي تطبيق دردشة تم تنزيله من خارج جوجل بلاي: فهو يحتاج إلى تنشيط الإعداد "السماح بتثبيت التطبيقات من مصادر غير معروفة". وبعد التثبيت، يطلب إذنًا لإرسال رسائل نصية قصيرة (SMS) وعرضها والوصول إلى الملفات وتسجيل الصوت، بالإضافة إلى طلب الوصول إلى جهات الاتصال وموقع الجهاز. وفور تلقي الأذونات، يبدأ التطبيق الضار في تلقي أوامر من خادم القيادة والتحكم (C&C)، وتحميل أي معلومات يتم حصادها. بالإضافة إلى رسائل الدردشة، يسرق التطبيق معلومات مثل الرسائل النصية القصيرة المرسلة والمستلمة وسجل المكالمات وقائمة جهات الاتصال والصور وتسجيلات المكالمات الهاتفية ، وموقع الـ GPS للجهاز.

أضاف "إستيفانكو": "لسوء حظ الضحايا، لم يتم إنشاء تطبيق Welcome Chat مع أي إعتبارات أمنية بما في ذلك بنيته التحتية. والبيانات المرسلة ليست مشفرة، وبسبب ذلك يمكن لأي شخص على الشبكة نفسها وليس المهاجمين فقط الوصول للبيانات دون أي مقابل و بسهولة".

حاول الباحثون في شركة «إسيت» تحديد ما إذا كان تطبيق "Welcome Chat" عبارة عن إصدار من نوعية هجوم طروادة تم إنشائة من تطبيق نظيف أو أنه تطبيق ضار تم تطويره من الصفر. وعلق "إستيفانكو": "لقد بذلنا قصارى جهدنا في محاولة اكتشاف نسخة نظيفة من هذا التطبيق لإعلام مطورها بالثغرات. لكننا نعتقد أنه ليس هناك نسخة نظيفة منه. وبالتالي لم نبذل أي جهد للتواصل مع الجهات الخبيثة التي تقف وراء عملية التجسس".

ينتمي تطبيق التجسس "Welcome Chat" إلى عائلة برامج ضارة معروفة ويشارك البنية التحتية مع حملة التجسس موثقة سابقًا باسم BadPatch، والتي استهدفت أيضًا منطقة الشرق الأوسط. وقد نُسبت BadPatch إلى قراصنة غزة، المعروفين باسم موليراتس. وبناءً على ذلك، نعتقد أن هذه الحملة مع أحصنة طروادة لنظم أندرويد الجديدة تأتي من نفس الجهات الفاعلة.

«إسيت» لا تشجع المستخدمين على تثبيت التطبيقات من خارج متجر جوجل بلاي الرسمي - ما لم يكن مصدرًا موثوقًا به، مثل موقع الويب الخاص بمورد أمن معروف أو بعض المؤسسات المالية ذات السمعة الطيبة. ويجب على المستخدمين الانتباه إلى الأذونات التي تتطلبها تطبيقاتهم والشك في أي تطبيقات تتطلب أذونات تتجاوز وظائفهم - وكإجراء أمني أساسي، يجب على المستخدمين تشغيل تطبيق أمن سيبراني موثوق به على أجهزتهم المحمولة.