تحذير ! نسخة مزيفة من تطبيق سايفون Psiphon لنظام الاندرويد Android تم التلاعب بها واستخدامها لنشر البرمجية الخبيثة تراياوت Triout malware


تم اكتشاف البرمجية الخبيثة المعروفة بأسم تراياوت Triout malware  لأول مرة في أغسطس 2018 والتي اصابت تطبيقات تعمل على نظام الاندرويد Android ولها إمكانيات برامج التجسس مثل تسجيل المكالمات الهاتفية والرسائل النصية وغيرها المزيد.

اما الان فقد عادت البرمجية الخبيثة هذه مرة اخرى بتجسيد جديد. هذه المرة ، تأتي مزروعة مع تطبيق اندرويد حقيقي واصلي لإدامة وظائف التجسس. تشمل إمكانات البرمجية هذه في تسجيل المكالمات الهاتفية والرسائل النصية ومقاطع الفيديو والصور بالإضافة إلى مراقبة إحداثيات نظام تحديد المواقع العالمي GPS الخاصة بالمستخدمين.

في أحدث شكل لها ، تخفي  البرمجية الخبيثة نفسها داخل تطبيق الشبكة الخاصة الافتراضية الفي بي ان VPN “سايفون Psiphon “، وبالذات مع الحزمة ‘com.psiphon3’. مع أكثر من 50 مليون عملية تثبيت ، يساعد سايفون المستخدمين على استخدام الشبكة الخاصة الافتراضية  لتجاوز قيود الانترنت مثل حظر المواقع  الاكترونية في العديد من البلدان أو على الشبكات الخاصة.

استهدف المهاجمون ملف تثبيت التطبيق المتاح على مصادر خارجية اخرى لتحميل التطبيق وليست من على الموقع الرسمي للتطبيق او النسخة المتاحة من على متجر التطبيقات  كوكل بلاي Google Play. كما يأتي التطبيق غير الرسمي (المزيف) مع برمجية اعلانات ضارة  adware اضافة لتواجد برمجية تراياوت الخبيثة ايضاً.

واشارت شركة مكافحة الفيروسات بت ديفيندر Bitdefender التي أجرت تحليلاً مفصلاً حول تطور تراياوت إلى أن تأثير البرمجية الخبيثة هذه كان صغيراً من ناحية الانتشار جغرافياً ومناطقياً , لكن الشركة لم تتمكن من تتبعها عالمياً.

في تحليلها المنشور على مدونتها الخاصة , قالت شركة بت ديفينير : “الشيء المثير للاهتمام حول عينة تراياوت الجديدة هو أن خادم القيادة والتحكم  Command and Control Server الذي يستخدمه ممثلو التهديد لتهريب البيانات والتحكم في الأجهزة المصابة مختلف الآن. لا يزال عنوان الايبي IP   لخادم القيادة والتحكم الجديد (“188.165.49.205”) قيد التشغيل في وقت كتابة هذا التقرير ويبدو أنه يشير إلى موقع ويب فرنسي (“magicdeal.fr”) والذي يعرض صفقات وخصومات تجارية لمنتجات متنوعة “.

وأضاف الباحثون “من غير المعروف في الوقت الحالي ما إذا كان الموقع هو فخ أو موقع ويب حقيقي تعرض للقرصنة لغرض استخدامه خادم قيادة وتحكم “.

علاوة على ذلك ، يحمل التطبيق غير الرسمي الذي تم التلاعب به تشابهاً قوياً مع التطبيق الأصلي المتواجد في متجر تطبيقات كوكل بلاي من حيث شكل واجهة المستخدم. وهكذا ، قد يعتقد المستخدمون أنهم قاموا بتثبيت التطبيق الرسمي الحقيقي ويقعوا كفريسة لتراياوت الذي يتجسس على أجهزتهم.

 

 

المصدر:

https://cyware.com/news/attackers-repackage-popular-android-vpn-app-with-triout-malware-000658cb

 

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: