يشكل برنامج DroidLock الخبيث الجديد تهديداً متزايداً لمستخدمي أجهزة أندرويد، بعد أن رصد الباحثون الأمنيون حملة تستهدفهم عبر مواقع تصيد احتيالي. يجمع هذا البرنامج الضار بين تقنيات برامج الفدية والتحكم عن بعد، مما يجعله أداة خطيرة في أيدي المهاجمين.
تمكن DroidLock من اختراق الأجهزة عن طريق خداع المستخدمين لحثهم على تثبيت تطبيقات تبدو شرعية، لكنها في الواقع تحمل حمولات خبيثة. هذه الطريقة تسمح للبرنامج بتجاوز قيود الأمان في نظام أندرويد والوصول إلى خدمات الوصول الحيوية، مما يمنحه قدرة واسعة للتلاعب بالهاتف.
آلية عمل DroidLock وبرنامج الفدية
تبدأ عملية الإصابة ببرنامج خبيث يعرف بـ “dropper”، يقوم بإقناع المستخدم بتثبيت تطبيق آخر يبدو كخدمة موثوقة. بمجرد التثبيت، يطلب هذا التطبيق أذونات مدير الجهاز وخدمات الوصول، والتي يمنحها المستخدم غالباً دون إدراك للعواقب.
هذه الأذونات ضرورية لـ DroidLock لتمكينه من تنفيذ مهامه الخبيثة. وبحسب باحثين من Zimperium، فإن هذا البرنامج الخبيث يستخدم اتصالاً ثنائي الاتجاه عبر HTTP وWebSocket للتواصل مع خادم القيادة والتحكم التابع للمهاجمين.
تسمح هذه القناة للمهاجمين بإرسال الأوامر واستقبال البيانات المسروقة في الوقت الفعلي. هذا المستوى من التحكم عن بعد يحول الهاتف المخترق إلى أداة خطيرة يمكن استخدامها لأغراض متعددة، بما في ذلك سرقة البيانات.
استراتيجيات سرقة البيانات
يستخدم DroidLock تقنيتين رئيسيتين لسرقة بيانات الاعتماد وأنماط الفتح: طريقة أولية تعتمد على واجهة رسم نمط مدمجة مباشرة في كود البرنامج، تظهر للمستخدم عند محاولة فتح الجهاز أو تطبيقات معينة. هذه الواجهة تسجل نمط الفتح دون أن ينتبه المستخدم.
الطريقة الثانية تتمثل في استخدام واجهات HTML يتم تحميلها ديناميكياً من قاعدة بيانات خاصة بالمهاجم. هذه الواجهات تحاكي بدقة شاشات تسجيل الدخول لتطبيقات البنوك والخدمات المالية، مما يخدع المستخدمين لإدخال بياناتهم مباشرة في نماذج وهمية.
يقوم البرنامج بمراقبة التطبيقات التي يفتحها المستخدم، وإذا تطابق التطبيق مع قائمة محددة مسبقاً على الخادم، يتم عرض الواجهة الوهمية المناسبة. وهذا يضمن أن المهاجمين يستهدفون التطبيقات الأكثر قيمة.
تهديد برامج الفدية والمسح الكامل للبيانات
إلى جانب سرقة البيانات، يقوم DroidLock بتسجيل نشاط الشاشة والتقاط صور عبر كاميرا الجهاز، مما قد يكشف عن معلومات حساسة بما في ذلك رموز التحقق لمرة واحدة. ثم يعرض DroidLock شاشة تطالب بفدية، مهدداً بمسح جميع البيانات خلال 24 ساعة.
بخلاف برامج الفدية التقليدية التي تشفر الملفات، لا يحتاج DroidLock إلى تشفير البيانات. فبدلاً من ذلك، يمكنه ببساطة محو كل شيء باستخدام أوامر إعادة ضبط المصنع. هذا يجعل الوقاية والكشف المبكر أمراً بالغ الأهمية، حيث يصبح استرداد البيانات بعد الإصابة شبه مستحيل بدون مساعدة متخصصة.