اكتشاف شركة تنشر تطبيقات Android مزيفة للاختراق

تم كشف شركة أخرى تصنع برمجيات تجسس حكومية بعد أن استخدم عملاؤها تطبيقات أندرويد مزيفة لتثبيت برامج المراقبة على أجهزة المستهدفين، وذلك وفقًا لتقرير جديد.
يوم الخميس، نشرت منظمة الحقوق الرقمية الإيطالية Osservatorio Nessuno، المتخصصة في أبحاث برامج التجسس، تقريرًا عن برمجية خبيثة جديدة أطلقت عليها اسم Morpheus. هذا البرنامج، الذي يتنكر في هيئة تطبيق لتحديث الهاتف، قادر على سرقة مجموعة واسعة من البيانات من جهاز الضحية.
وتُظهر نتائج الباحثين أن الطلب على برامج التجسس من قبل جهات إنفاذ القانون وأجهزة الاستخبارات مرتفع جدًا، لدرجة وجود عدد كبير من الشركات التي تقدم هذه التكنولوجيا، يعمل بعضها بعيدًا عن الأضواء.
في هذه الحالة، خلصت Osservatorio Nessuno إلى أن برنامج التجسس مرتبط بشركة IPS، وهي شركة إيطالية تعمل منذ أكثر من 30 عامًا في تقديم ما يُعرف بتقنيات “الاعتراض القانوني”، أي الأدوات التي تستخدمها الحكومات لالتقاط الاتصالات المباشرة للأفراد عبر شبكات الهاتف والإنترنت.
وبحسب موقع IPS، فإن الشركة تعمل في أكثر من 20 دولة، رغم أن هذا على الأرجح لا يشمل منتجها الخاص ببرامج التجسس، والذي كان سريًا حتى الآن. كما تشير الشركة إلى أن من بين عملائها عدة جهات شرطية إيطالية. ولم ترد IPS على طلب التعليق حول التقرير.
وصف الباحثون برنامج Morpheus بأنه “منخفض التكلفة”، لأنه يعتمد على أسلوب بدائي نسبيًا يتمثل في خداع الضحية لتثبيت البرنامج بنفسه.
وعلى النقيض، فإن شركات التجسس الحكومية الأكثر تطورًا، مثل NSO Group وParagon Solutions، تتيح لعملائها إصابة الأهداف بطرق غير مرئية تُعرف باسم “هجمات بدون نقر” (zero-click)، حيث يتم تثبيت البرمجية الخبيثة بشكل خفي تمامًا عبر استغلال ثغرات أمنية معقدة ومكلفة.
في هذه الواقعة، قال الباحثون إن السلطات حصلت على مساعدة من مزود خدمة الهاتف الخاص بالضحية، حيث تم حجب بيانات الهاتف المحمول بشكل متعمد. بعد ذلك، أرسل مزود الاتصالات رسالة SMS للضحية تطلب منه تثبيت تطبيق يُفترض أنه يساعد في تحديث الهاتف واستعادة الاتصال بالإنترنت. وتُعد هذه الاستراتيجية معروفة في حالات أخرى تتعلق بشركات تجسس إيطالية.
بعد تثبيت البرنامج، استغل برمجية Morpheus ميزات إمكانية الوصول (Accessibility) في نظام Android، مما سمح له بقراءة البيانات المعروضة على شاشة الضحية والتفاعل مع التطبيقات الأخرى. وقد صُمم البرنامج للوصول إلى مختلف أنواع المعلومات الموجودة على الجهاز.
ثم قام البرنامج بعرض تحديث مزيف، وأظهر شاشة إعادة تشغيل، وفي النهاية انتحل صفة تطبيق WhatsApp وطلب من الضحية تقديم بياناته البيومترية للتأكد من هويته. دون علم الضحية، أدى هذا الإجراء إلى منح البرنامج وصولًا كاملًا إلى حساب واتساب عبر إضافة جهاز جديد إلى الحساب. وهذه طريقة معروفة استخدمها قراصنة حكوميون في أوكرانيا، وكذلك في حملة تجسس حديثة في إيطاليا.
شركة قديمة ببرنامج تجسس جديد
توصل باحثو Osservatorio Nessuno، اللذان طلبا الإشارة إليهما باسميهما الأولين فقط، Davide وGiulio، إلى أن البرنامج يعود لشركة IPS بناءً على البنية التحتية المستخدمة.
فعلى وجه الخصوص، كان أحد عناوين IP المستخدمة في الحملة مسجلاً باسم “IPS Intelligence Public Security”.
كما عثر الباحثان على أجزاء من الشيفرة تحتوي على عبارات إيطالية، وهو أمر أصبح شائعًا في صناعة برامج التجسس الإيطالية، حيث تضمنت الشيفرة إشارات إلى “Gomorra” (الكتاب والمسلسل الشهير عن المافيا في نابولي) وكلمة “سباغيتي”.
وقال الباحثان إنهما لا يستطيعان الكشف عن هوية الهدف، لكنهما يعتقدان أن الهجوم مرتبط بـ “نشاط سياسي” في إيطاليا، وهو مجال أصبحت فيه مثل هذه الهجمات المستهدفة شائعة جدًا.
وأشار أحد الباحثين في شركة أمن سيبراني إلى أن شركته كانت تتابع هذا البرنامج الخبيث، وبعد مراجعة تقرير Osservatorio Nessuno، أكد أن البرمجية تم تطويرها بالفعل من قبل شركة إيطالية متخصصة في تقنيات المراقبة.
وتُعد IPS أحدث اسم في قائمة طويلة من شركات برامج التجسس الإيطالية التي ملأت الفراغ الذي تركته شركة Hacking Team بعد انهيارها، وهي واحدة من أوائل الشركات في هذا المجال عالميًا، حيث كانت تسيطر على جزء كبير من السوق المحلي وتبيع منتجاتها للخارج قبل أن تتعرض للاختراق ثم تُباع وتُعاد تسميتها.
وخلال السنوات الأخيرة، كشف الباحثون عن عدة شركات إيطالية في هذا المجال، منها CY4GATE وeSurv وGR Sistemi وMovia وNegg وRaxir وRCS Lab، ومؤخرًا SIO.
وفي وقت سابق من هذا الشهر، قامت WhatsApp بإخطار نحو 200 مستخدم قاموا بتثبيت نسخة مزيفة من التطبيق، والتي كانت في الواقع برنامج تجسس طورته SIO. وفي عام 2021، علّق مدعون إيطاليون استخدام برامج التجسس التابعة لشركتي CY4GATE وSIO بسبب أعطال خطيرة.
الخبر منقول ومترجم من TechCrunch.
المصدر