يشكل برنامج **Arsink RAT** الخبيث الجديد تهديداً خطيراً لأمن الأجهزة المحمولة على مستوى العالم، حيث يمنح المهاجمين سيطرة كاملة على الأجهزة المصابة مع سرقة المعلومات الشخصية بهدوء.
ينتشر هذا البرنامج الضار عبر منصات التواصل الاجتماعي مثل تلغرام وديسكورد ومواقع مشاركة الملفات، متخفياً في صورة تطبيقات شهيرة لخداع المستخدمين. يتم اكتشاف الحملة الخبيثة من خلال تتبع التوسع السريع الذي يحدث على مدار عدة أشهر، حيث تم اكتشاف ملفات APK خبيثة ونقاط نهاية لقواعد بيانات Firebase تستخدم لعمليات القيادة والتحكم.
Arsink RAT: تهديد متطور يهدد بيانات المستخدمين
يعمل Arsink RAT عن طريق التنكر كتطبيقات شرعية من علامات تجارية معروفة مثل جوجل، يوتيوب، واتساب، انستغرام، فيسبوك، وتيك توك. يقوم المهاجمون بتوزيع إصدارات “معدلة” أو “احترافية” مزيفة لهذه التطبيقات، لإقناع الضحايا بأنهم يقومون بتنزيل ميزات محسنة.
بمجرد التثبيت، يطلب البرنامج الضار أذونات مفرطة ويبدأ أنشطته التجسسية دون تقديم أي وظائف حقيقية. ويؤثر التهديد على المستخدمين على مستوى العالم، مع تحديد ما يقرب من 45 ألف عنوان IP فريد للضحايا عبر 143 دولة.
نطاق سرقة البيانات
الأكثر إثارة للقلق هو حجم سرقة البيانات الذي يحدث بصمت في الخلفية. يلتقط البرنامج الضار رسائل SMS، بما في ذلك كلمات المرور ذات الاستخدام الواحد، وسجلات المكالمات، وجهات الاتصال، وموقع الجهاز، وحتى التسجيلات الصوتية عبر الميكروفون.
تتركز غالبية الإصابات في مصر بحوالي 13 ألف جهاز مخترق، تليها إندونيسيا بحوالي 7 آلاف حالة، ثم العراق واليمن، حيث تم الإبلاغ عن 3 آلاف إصابة لكل منهما. تظهر دول مثل باكستان والهند وبنغلاديش أيضاً أعداداً كبيرة من الضحايا، مما يدل على الطبيعة الواسعة النطاق لهذا التهديد.
طرق التوزيع والهندسة الاجتماعية
تعتمد استراتيجية توزيع Arsink بشكل كبير على تقنيات الهندسة الاجتماعية بدلاً من الاستغلالات التقنية. يستخدم المهاجمون خدمات سحابية متعددة لأغراض مختلفة، مما يجعل الكشف أكثر صعوبة.
تقوم بعض المتغيرات بتحميل الملفات المسروقة إلى Google Drive باستخدام Google Apps Script، بينما يرسل البعض الآخر المعلومات مباشرة إلى روبوتات تلغرام التي يتحكم بها المهاجمون. يخفي متغير ثالث حمولة خبيثة ثانوية داخل التطبيق الأولي، والتي يتم استخراجها وتثبيتها دون الحاجة إلى اتصال بالإنترنت.
الثبات والتحكم عن بعد
يحافظ البرنامج المتسلل على ثباته على الأجهزة المخترقة عن طريق إخفاء أيقونة التطبيق وتشغيل خدمة أمامية تقاوم الإنهاء. يسمح هذا بالمراقبة المستمرة وجمع البيانات حتى عندما يظن المستخدمون أنهم أغلقوا جميع التطبيقات.
يمكن للمشغلين عن بعد تشغيل إجراءات مختلفة، بما في ذلك تشغيل/إيقاف تشغيل المصباح، وإجراء المكالمات الهاتفية، وتحميل الملفات، وحتى مسح جميع البيانات من التخزين الخارجي كإجراء مدمر.