يشكل حصان طروادة الوصول عن بعد، المعروف باسم GravityRAT، تهديداً متزايداً يستهدف الأجهزة العاملة بنظامي التشغيل ويندوز وأندرويد وماك منذ عام 2016. وقد تطور هذا البرنامج الضار من كونه مجرد أداة تستهدف نظام ويندوز إلى أداة قادرة على اختراق أنظمة متعددة، مما يزيد من نطاق انتشاره وطرق هجومه.
تنتشر GravityRAT عادةً من خلال تطبيقات زائفة ورسائل بريد إلكتروني خادعة، مما يجعل من الصعب على المستخدمين العاديين اكتشاف نواياها السيئة. يعتمد البرنامج الضار على التنكر في هيئة برامج مشروعة، مثل تطبيقات المراسلة أو أدوات مشاركة الملفات، ليتمكن من التسلل إلى الأجهزة.
GravityRAT: تهديد متطور يستهدف الأنظمة المتعددة
يُعرف GravityRAT بقدرته على التسلل إلى الأجهزة، حيث يقوم بجمع معلومات حساسة مثل المستندات والصور والرسائل ونسخ واتساب الاحتياطية. يتم إرسال هذه البيانات المسروقة بعد ذلك إلى متسللين يتحكمون في البرنامج الضار من خوادم بعيدة، مما يشكل خطراً على خصوصية المستخدمين وأمن بياناتهم.
من جهة أخرى، يشتهر GravityRAT بقدرته على تفادي أنظمة وأدوات الأمان. يقوم البرنامج الضار بإجراء سبعة فحوصات لتحديد ما إذا كان يعمل على جهاز كمبيوتر حقيقي أم داخل بيئة اختبار افتراضية. تشمل هذه الفحوصات فحص إصدار BIOS الخاص بالكمبيوتر، والبحث عن أدلة على برامج المحاكاة الافتراضية، وعدد أنوية المعالج، وعناوين MAC المرتبطة بالأنظمة الافتراضية.
تقنيات التخفي المتقدمة
يعتمد البرنامج الضار على حيلة ذكية لتجنب الكشف تتمثل في قياس درجة حرارة وحدة المعالجة المركزية (CPU). تقوم برامج الأمان الافتراضية الشائعة، مثل Hyper-V و VMware Fusion و VirtualBox و KVM و Xen، بعدم القدرة على الإبلاغ عن قراءات درجة الحرارة. وعندما تواجه GravityRAT هذه الأخطاء، فإنها تدرك أنها قيد التحليل وتتوقف عن العمل لإخفاء سلوكها الحقيقي.
وهذا يجعل من الصعب للغاية على باحثي الأمن السيبراني دراسة البرنامج الضار باستخدام الأدوات القياسية. عندما يؤكد البرنامج الضار وجوده على نظام حقيقي، فإنه ينشئ مهام مجدولة لتشغيله تلقائيًا عند بدء تشغيل النظام، مما يمنحه وصولاً طويل الأمد إلى الجهاز المصاب.
في أجهزة أندرويد، ينتحل GravityRAT هوية تطبيقات باسم “Speak Freely” أو “BingeChat” أو “Chatico”، والتي تدعي تقديم خدمات مراسلة آمنة. تقوم هذه التطبيقات الزائفة بجمع بيانات الهاتف، بما في ذلك تفاصيل بطاقة SIM، ورسائل SMS، وسجلات المكالمات، والملفات ذات الامتدادات مثل .jpg و .pdf و .txt.
تتم حزم المعلومات المسروقة في ملفات ZIP وإرسالها إلى خوادم القيادة والتحكم عبر اتصالات HTTPS مشفرة. يستخدم المتسللون أداة تسمى GravityAdmin لإدارة جميع الأجهزة المصابة من مكان واحد، مما يتيح لهم التحكم في حملات هجوم متعددة تحمل أسماء رمزية مثل FOXTROT و CLOUDINFINITY و CHATICO. يشير هذا النهج المنظم إلى أن GravityRAT يتم تشغيله بواسطة مجموعات ماهرة ذات أهداف وموارد واضحة، مما يزيد من تعقيد جهود المكافحة.