دراسة: FakeInstaller أكبر البرمجيات الخبيثة المهددة لهواتف الأندرويد

يعتبر التنوع الحاصل في الأجهزة التقنية ومختلف البرامج التي نقوم بإستعمالها اليوم أحد أهم وأبرز مظاهر التقدم التكنولوجي الذي نعيشه. وإن تم أخذ هذا التنوع كجانب إيجابي فإنه لا يمكن بأي حال من الأحوال إنكار جانب يتماشى بنفس وتيرة التطور تلك والمقصود هنا هو الجانب السلبي الذي يعتمد بالأساس إعتمادا كليا على إستغلال الثغرات ومكامن الخلل الموجودة في أنظمة تلك الأجهزة والبرمجيات كركيزة أساسية. ويمكن أخذ هنا التطبيقات المزيفة لنظام الأندرويد للهواتف الذكية أو Android.FakeInstaller كما سيتم تسميته كمثال وكمحور دراسة.

ويندرج Android.FakeInstaller في عائلة البرمجيات الخبيثة الخاصة بنظام الأندرويد، وبصورة أدق هو عبارة عن نسخة غير أصلية وغير شرعية لتطبيقات عديدة ومشهورة لهذا النظام مثل: Skype، Flash Player، Opera أو أي تطبيقات أخرى.

وتشير المعطيات والأرقام بهذا الخصوص إلى أن هذه البرامج الضارة هي الأكثر انتشارا، حيث أظهرت النتائج أن أكثر من 60 بالمئة من العينات المصنعة للأندرويد تدخل ضمن تطبيقات وهمية وكاذبة وهذا طبعا وفقا لتحليلات شركة McAfee.

وقد أصبح هذا التهديد أكثر خطورة نتيجة لإمكانية هذه البرمجيات الخبيثة على إجتياز حواجز الحماية وحلول مكافحة الفيروسات مزامنة مع الخصائص والتقنيات التي تتمتع بها اليوم والتي تم عرضها في الدراسة كالتالي:

أولى الخطوات لعملية الإحتيال وخداع المستخدمين تبدأ تحديدا عندما يقومون بالبحث عن تطبيقات معينة وفي الغالب ما تكون عبارة عن التطبيقات الأكثر شعبية، وبالتالي يكون الوصول في الأخير إلى مواقع وأسواق وهمية عبر محركات البحث أو الشبكات الاجتماعية توفر هذه التطبيقات ولكن بصيغة أخرى.

من الجانب المقابل تظهر الصور وتعليقات الزوار ولقطات الفيديو وما إلى ذلك على أن هذه البرمجيات الخبيثة هي في الأصل تطبيقات شرعية ورسمية، وبالتالي فإنه لا مانع هنا من القيام بعملية التحميل وتجربة التطبيق.

كما أنه عند تثبيت وتنفيذ البرنامج الضار أو Android.FakeInstaller فإن المستخدم وبطبيعة الحال سيوافق على اتفاقية الخدمة والإستعمال المدرجة في التطبيق والتي بدورها تتيح تنفيذ عملية أخرى تتمثل في إمكانية السماح بإرسال رسائل SMS خاصة لحسابات مدفوعة تذهب لجهات معينة.

الجدير بالذكر أيضا أنه ثم العثور على هذه الإتفاقيات في الغالب باللغة الروسية أو الإنجليزية كما تظهر الصور أدناه.

 

توجد عدة أنواع من FakeInstallers والتي لديها مضمون وحمولة أساسية مشتركة فيما بينها، غير أن الإختلاف يكون في مصدر إتاحتها أو بالأحرى المورد الذي يوفرها على شكل صورة تطبيقات.

وعموما يمكن القول أن كل فئة من FakeInstallers مرتبطة بمجموعة من الخوادم والمواقع الوهمية الخاصة. وعلاقة الإرتباط هنا قوية جدا لدرجة أن معظم المثبتات الوهمية أو الكاذبة تكون من جانب سيرفرات متعددة الأشكال، أي أن كل سيرفر يمكن أن يوفر ملفات APK مختلفة تحت نفس رابط URL وهذا تبعا لتكوين السيرفر أو الخادم في حد ذاته.

فعندما يقوم الضحية بطلب تطبيق من السوق الوهمية، فإنه يتم إعادة توجيه المتصفح إلى خادم معين يقوم بتوفير ملف APK يكون مخصص وموجه لـURL الخاص بالضحية والذي يرتبط بدوره مع عنوان الـ IP الخاص به أيضا.

على سبيل المثال هناك تطبيق Opera Mini 6.5 مزيف بصيغة APK، عملية التحميل تتم من رابط URL محدد (http://[censored]loads.ru/tds?r=3967) لكن عملية الوصول تتم من عنوانين IP مختلفين A و B   ونتيجة لهذا تحصل عملية إعادة توجيه المتصفح إلى رابطي URL مختلفين لكل من الضحيتين في حين أن النتيجة الواحدة والنهائية هي الحصول على ملفات APK متشابهة جدا إلا في بعض الاختلافات التي تكون على مستوى ملف  res/raw/config.txt

توضح الصورة التالية الفوارق داخل ملف APK لعينتين من تطبيق Opera Mini 6.5 مزيف تم تحميلهما من عنوانين IP مختلفين A وB.

 

يمكن الحكم على أن هذه التعديلات هي السبب الرئيسي وراء زيادة الحجم في ملفات APK في البرامج الضارة.

كانت الإصدارات السابقة من FakeInstaller موجهة بالدرجة الأولى للمستخدمين من دول أوروبا الشرقية فقط، لكن الآن تم توسيع هذا النطاق من قبل مطوري البرمجيات الخبيثة الخاصة بنظام الأندرويد ليشمل بلدان أخرى.

وقد أصبحت هذه البرمجيات الخبيثة اليوم قادرة على إضافة تعليمات جديدة بهدف الحصول على رموز وأكواد شبكات الجوال للعديد من البلدان، وبناءا على هذا يتم تحديد قيمة المبالغ المقتطعة وإرسال البيانات الخاصة بها عبر خدمة الرسائل القصيرة SMS من هاتف الضحية مهما كان مشغل الشبكة.

كما يمكن الإشارة إلى أن الإصدارات الأولى من أرقام الـSMS كانت تأتي داخل ملف DEX، لكن في الإصدارات الأخيرة أصبحت تأتي داخل ملف XML المشفر والذي يكون داخل ملف APK.

لطالما جرت العادة على أن كافة التطبيقات الوهمية تتضمن نفس ملف DEX، لكن خلال مدة معينة وفترة من الزمن أصبح ملف DEX متغير ولجميع التطبيقات. فمطورو البرمجيات الخبيثة يعمدون إلى إحداث هذا التغيير بهدف تنفيذ وظائف جديدة وأغراض أخرى.

وتشتمل التغييرات الجديدة على رسومات واجهة التثبيت للتطبيقات الوهمية في الأندرويد، الأيقونات والنصوص وغيرها. غير أن أهم هذه التغييرات في الغالب ما تكون شاملة لتقنيات جديدة تساعد على تجنب عملية التحليل الديناميكي ومنع البرامج الضارة من عملية التشغيل.

في الصورة التالية نرى عرض لملف DEX وكيف يظهر الإختلاف في محتوى التطبيق الذي تم توزيعه في السوق الوهمية

إصدارات Android.FakeInstaller الحالية لا يقتصر خطرها فقط على إمكانية إرسال رسائل SMS لأرقام الحسابات المدفوعة لجهات معينة، ولكن مستوى الخطر أكبر بكثير حين يتعلق الأمر بإحتواء هذه البرمجيات على أنظمة التنسيق والتحكم الـ Botnet والتي تسمح بتلقي الأوامر من سيرفر بعيد (FakeInstaller.S) يستخدم سحابة الأندرويد لأجهزة التراسل وذلك بهدف تسجيل الأجهزة المصابة في قاعدة بيانات واحدة وإرسال رسائل لها أو إجبارها على عملية القيام بتحميل نسخ محدثة من التطبيقات والبرامج الضارة.

يتم إنشاء مواقع وأسواق وهمية لتطبيقات الأندرويد والبرامج الضارة بشكل خاص وتتم عملية فهرستها في محركات البحث بهدف الإحتيال ولنا في محرك Yandex الروسي مثال على ذلك.

وفي حين تبدو هذه المواقع على أنها مواقع رسمية ويمكن الاعتماد عليها تلجأ إلى إستعمال خاصية إعادة التوجيه لروابط تحميل التطبيقات ومختلف البرمجيات الخبيثة من ملفات APK بغرض عدم الوقوع في مصيدة برامج الأمن والحماية.

وتظهر الصورة التالية عملية توجيه متصفح الضحية لعناوين IP محددة

كما يمكن أن نرى أيضا أن هذه المواقع تكون مشتركة بالصورة المزيفة لحسابات تويتر وفيسبوك