ظهرت موجة جديدة من تطبيقات Android الضارة التي تنتحل شخصية خدمة توصيل كورية معروفة، وتستخدم تقنيات تمويه متقدمة مدعومة بالذكاء الاصطناعي. تهدف هذه التطبيقات إلى تجاوز أساليب الكشف التقليدية لأنظمة مكافحة الفيروسات.
يُبرز هذا التطور قدرة الجهات الفاعلة وراء هذه الحملة على استغلال الثغرات الأمنية في الهواتف المحمولة، ودمج استراتيجيات متعددة لتفادي الكشف وضمان استمرار عملياتها.
تطبيقات ضارة بإخفاء الذكاء الاصطناعي تتجاوز كشف البرامج الضارة
تعتمد الحملة الخبيثة على آلية توزيع ذكية تتخفى في صورة تطبيق شرعي لتتبع الشحنات. يقوم التطبيق بعرض واجهة مشابهة لخدمة التوصيل الحقيقية، مع الاتصال بمواقع تتبع أصلية باستخدام أرقام تتبع عشوائية، وذلك بعد الحصول على الأذونات اللازمة من المستخدم.
يعتمد هذا الأسلوب الهندسي الاجتماعي على بناء الثقة لدى المستخدمين، بينما يقوم التطبيق بتنفيذ أنشطته الخبيثة في الخلفية. وهذا يجعله شديد الخطورة على الضحايا غير المتوقعين.
كشف محللو أمن ASEC عن هذا البرنامج الضار بعد رصد أنماط توزيع متكررة عبر قنوات مختلفة. وأظهرت التحقيقات أن الجهات الفاعلة استخدمت بالفعل تقنيات تمويه معززة بالذكاء الاصطناعي لإخفاء وظائف التطبيق، مما يجعل الهندسة العكسية أكثر صعوبة لباحثي الأمن.
التغلب على كشف البرامج الضارة عبر الإخفاء الذكي
يكمن التعقيد التقني لهذه التطبيقات في كيفية تطبيق تقنيات الإخفاء. فقد استخدم المطورون تقنية ProGuard المدعومة بالذكاء الاصطناعي، وقاموا بتحويل أسماء الفئات ومعرفات الدوال وأسماء المتغيرات إلى سلاسل نصية عشوائية من ثماني خانات باللغة الكورية. هذا النهج يختلف عن الإخفاء القياسي، حيث تجعل الأحرف الكورية العشوائية اكتشاف الأنماط بشكل منهجي أكثر صعوبة للأدوات الأمنية الآلية.
في المقابل، بقيت أسماء الموارد دون تغيير، مما يشير إلى استراتيجية تمويه انتقائية مصممة خصيصًا لإخفاء الوظائف الأساسية للتطبيق، مع الحفاظ على هيكله العام ليعمل بشكل طبيعي.
اكتشف باحثو الأمن أن البرامج الضارة تقوم باستخراج البيانات بعد جمعها من الأجهزة المصابة، وذلك عبر مواقع إلكترونية مشروعة تم اختراقها وإعادة استخدامها كخوادم للتحكم والقيادة. وعمد المهاجمون إلى ترميز عناوين خوادم C2 مباشرة داخل مدونات مستضافة على بوابات كورية، ويتم تحميلها ديناميكيًا عند تشغيل التطبيق.
تخلق هذه التقنية حاجزًا إضافيًا للكشف، حيث تبدو الخوادم الخبيثة الفعلية كحركة مرور ويب عادية لأنظمة مراقبة الشبكة، مما يخفي عملية سرقة البيانات عن البنية التحتية الأمنية بفعالية.
تضمنت العينات التي تم تحديدها خمسة تجزئات MD5 مؤكدة، مع عناوين URL مرتبطة بنطاقات كورية مخترقة مستخدمة لسرقة البيانات. يجب على متخصصي الأمن إعطاء الأولوية للكشف عن هذه العينات وحظرها عبر شبكاتهم، مع تطبيق ضوابط أكثر صرامة على أذونات التطبيقات الخاصة ببرامج خدمات التوصيل.
تابعونا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، واضبط CSN كمصدر مفضل في Google.