برز تهديد جديد يعرف باسم “أوبليفيون” (Oblivion)، وهو برنامج تجسس عن بعد لأنظمة أندرويد، مما يثير مخاوف جدية في مجتمع أمن الهواتف المحمولة. يُباع هذا البرنامج الخبيث في منتديات القراصنة مقابل 300 دولار شهرياً، وهو مصمم للسيطرة على أجهزة أندرويد بصمت دون أن يدرك الضحية ذلك.
يتميز “أوبليفيون” بدمجه لقدرات متعددة وخطيرة في حزمة واحدة سهلة الاستخدام، مما يجعله مختلفاً عن برامج التجسس الأخرى المتاحة في الخفاء. يستهدف البرنامج إصدارات أندرويد من 8 إلى 16، مما يغطي معظم الأجهزة النشطة حالياً. لا يحتاج المهاجمون إلى مهارات برمجية متقدمة، حيث تتضمن الأداة أداة بناء سهلة الاستخدام تقوم بكل شيء بدءاً من إنشاء تطبيق مزيف وحتى نشره على جهاز الضحية.
“أوبليفيون” يهدد أمن أجهزة أندرويد بخصائص متقدمة
تم اكتشاف التهديد من قبل محللين في شركة “سيرتو” (Certo) بعد مراجعة لمنشور بائع مفصل وعرض توضيحي للفيديو نُشرا بشكل علني على منتدى للقراصنة. ووفقاً لمراجعتهم، فقد تم اختبار هذا البرنامج الخبيث في بيئات حقيقية لأكثر من أربعة أشهر قبل إصداره علناً، ولم يتم تسجيل أي اكتشافات سلوكية خلال تلك الفترة.
يتبع البرنامج نموذج الاشتراك، حيث تتراوح الأسعار من 300 دولار لشهر واحد إلى 2200 دولار للوصول الدائم. يتلقى المشترون وصولاً إلى الأداة ولا يمكنهم الوصول إلى الكود المصدري، مما يحافظ على السيطرة الكاملة لدى البائع. وبمجرد وصول “أوبليفيون” إلى الجهاز، يمكن للمهاجم اعتراض رسائل SMS، بما في ذلك رموز المصادقة الثنائية، وقراءة الإشعارات من التطبيقات المصرفية، وتسجيل كل ضغطة زر، وإدارة الملفات، وتشغيل أو إلغاء تثبيت التطبيقات عن بعد، وفتح قفل الهاتف تلقائياً باستخدام رمز PIN تم التقاطه.
كيف يعمل “أوبليفيون” دون أن يتم اكتشافه
تعتبر ميزة التحكم عن بعد المخفي (Hidden VNC)، أو HVNC، هي الأكثر أهمية من الناحية التقنية في “أوبليفيون”. تتيح هذه الميزة جلسة تحكم عن بعد مخفية تعمل بالكامل دون علم الضحية. بينما تتيح VNC القياسية لشخص ما عرض جهاز والتحكم فيه عن بعد، فإن HVNC تخفي هذه الجلسة تماماً، دون ترك أي أثر مرئي على شاشة الضحية.
في حين أن شاشة الضحية تعرض رسماً توضيحياً مقنعاً لـ “نظام قيد التحديث…”، فإن المهاجم لديه سيطرة تفاعلية كاملة على الجهاز في بيئة مخفية تعمل خلفها. يمكن تخصيص هذه الشاشة الوهمية بالكامل لتبدو وكأنها تحديث لنظام HyperOS، أو فحص لمضاد الفيروسات، أو أي شاشة تحميل روتينية أخرى لا تثير الشكوك.
تتطلب عملية وصول البرنامج الخبيث إلى الجهاز استخدام “منشئ الإسقاط” (Dropper Builder) الذي يقوم بإنشاء موجه تحديث مزيف لتطبيق Google Play. تسمح الأداة هنا للمهاجمين بتخصيص اسم التطبيق المزيف، والأيقونة، وشاشة التسليم. يتم تقديم إشعار “تحديث مطلوب” للضحايا، ويتم توجيههم خطوة بخطوة لتمكين التثبيت من مصادر غير معروفة، وهي تقنية هندسة اجتماعية تعمل لأنها تبدو روتينية تماماً.
بمجرد التثبيت، يقوم “أوبليفيون” بتجاوز أذونات خدمة إمكانية الوصول في أندرويد تلقائياً دون أي إجراء من الضحية. يعمل هذا عبر واجهات أندرويد المخصصة الرئيسية بما في ذلك Samsung One UI، و Xiaomi MIUI/HyperOS، و OPPO ColorOS، و Honor MagicOS، و OnePlus OxygenOS.
أمضت جوجل سنوات في تشديد قيود خدمة إمكانية الوصول عبر إصدارات أندرويد، مما يجعل أداة تتجاوز تلك الحمايات على أندرويد 16 تطوراً هاماً حقاً. يتضمن “أوبليفيون” أيضاً وضع قارئ الشاشة (Screen Reader) الذي يتجاوز حمايات الشاشة السوداء التي تستخدمها التطبيقات المصرفية ومحافظ العملات المشفرة لمنع التقاط الشاشة، مما يقوض بشكل مباشر أحد أكثر إجراءات الحماية الموثوق بها في التطبيقات المالية.
لتقليل خطر الإصابة، يجب على المستخدمين تثبيت التطبيقات فقط من خلال متجر Google Play وتجنب تحميل ملفات APK من أي مصادر خارجية. يجب التعامل مع أي نافذة منبثقة غير متوقعة تطلب تثبيت تحديث من خارج متجر Play بحذر فوري، حيث أن تحديثات أندرويد الشرعية لا يتم تسليمها بهذه الطريقة أبداً. يعد التحقق بانتظام من الإعدادات > إمكانية الوصول وإزالة الأذونات من التطبيقات غير المألوفة خطوة عملية يجب على الجميع اتخاذها.
في حال تجمد الجهاز بشكل غير متوقع على شاشة تحميل أو تحديث نظام بعد تثبيت تطبيق خارجي، فإن إيقاف تشغيله وتشغيل فحص أمني فوراً هو الاستجابة الأكثر أماناً.