في ظل التوترات المتصاعدة، ظهرت حملة تجسس إلكتروني جديدة تستهدف المدنيين في إسرائيل، حيث استخدم المهاجمون تطبيق “Red Alert” الرسمي للإبلاغ عن الصواريخ، محولين إياه إلى أداة مراقبة خبيثة. هذه الحملة، المسماة “RedAlert”، تستغل الخوف والفزع خلال فترات النزاع لجمع معلومات حساسة.
تم اكتشاف هذه الحملة الأمنية الجديدة من قبل محللي الأمن السيبراني، الذين أفادوا بأنها تستغل التطبيق الرسمي الذي يعتمد عليه المواطنون الإسرائيليون في تلقي الإنذارات بشأن الهجمات الصاروخية. من خلال نسخة مزيفة من هذا التطبيق، تمكن المهاجمون من التجسس على المستخدمين دون علمهم.
حملة RedAlert: استغلال الظروف الأمنية
تأتي حملة RedAlert للتجسس الإلكتروني في وقت حساس، مستفيدة من المخاوف الأمنية لدى السكان. قام المهاجمون بتصميم نسخة خبيثة من تطبيق “Red Alert” المخصص للهواتف المحمولة، وهو تطبيق مصمم أصلاً لمساعدة المدنيين في إسرائيل على البقاء على اطلاع بالتهديدات الصاروخية. هذه النسخة المزيفة تهدف إلى جمع بيانات المستخدمين بطرق غير مشروعة.
تم توزيع التطبيق الخبيث، والذي تم تسميته بـ RedAlert.apk، من خلال رسائل تصيد احتيالي عبر الرسائل النصية القصيرة. انتحل المهاجمون صفة قيادة الجبهة الداخلية الإسرائيلية، وحثوا الضحايا على تحميل التطبيق من خارج متجر Google Play الرسمي. هذه الطريقة هدفت إلى التحايل على آليات الأمان القياسية.
التوزيع والتلاعب بالمستخدم
تضمنت استراتيجية التوزيع إرسال رسائل نصية قصيرة تدعو المستخدمين لتنزيل ما يبدو أنه تحديث عاجل لتطبيق Red Alert الرسمي. نظراً لأن التطبيق الأصلي متاح حصرياً على متجر Google Play، فإن هذه الحملة أجبرت الضحايا على تثبيت حزمة Android الخبيثة يدوياً، متجاوزين بذلك حماية التثبيت المدمجة في نظام Android. أدى الذعر خلال وقت الحرب إلى تقليل شكوك المستخدمين، خاصة وأن التطبيق المزيف كان يعرض واجهة إنذار عاملة بالكامل، مطابقة تماماً للتطبيق الأصلي.
آلية العمل الداخلي والتجسس
بمجرد تثبيت التطبيق الخبيث، بدأ في طلب أذونات عالية المخاطر، مثل الوصول إلى الرسائل النصية القصيرة، وجهات الاتصال، وبيانات الموقع الجغرافي الدقيقة. تم تقديم هذه الأذونات على أنها ضرورية لوظائف التطبيق الإنذارية. بمجرد منح أي إذن، بدأ وحدة جمع البيانات المرتبطة به في العمل فوراً. تم تجميع البيانات التي تم حصادها محلياً قبل إرسالها إلى خوادم يتحكم بها المهاجمون.
الآثار الأمنية والاستراتيجية
تتجاوز النتائج الفعلية لحملة RedAlert مجرد سرقة البيانات التقليدية. من خلال تتبع إحداثيات GPS للأجهزة المصابة باستمرار خلال فترات الغارات الجوية، اكتسب المهاجمون معلومات استخباراتية حول حركة المدنيين. يمكن استخدام هذه البيانات لتحديد مواقع الملاجئ، أو تتبع السكان النازحين، أو تحديد تجمعات المجندين العسكريين. اعتراض علبة الرسائل النصية بالكامل يمنح الخصوم أيضاً مساراً لتجاوز المصادقة الثنائية وتنفيذ عمليات تضليل موجهة.
تفاصيل تقنية لحملة RedAlert
كشفت الهندسة العكسية للتطبيق عن آلية عدوى متعددة المراحل تم بناؤها لتجنب الكشف. في المرحلة الأولى، يعمل الغلاف الخارجي للتطبيق كجهاز تمويه. باستخدام تقنية تعرف باسم “Package Manager Hooking”، يتجاوز البرمجية الخبيثة استدعاءات النظام التي تكشف عادة عن شهادة التوقيع الحقيقية. وبدلاً من ذلك، يعيد شهادة موقعة مسبقاً وانتحالية، تنتحل صفة الشهادة الأصلية لتطبيق قيادة الجبهة الداخلية. كما أنه يجبر النظام على الإبلاغ عن التطبيق على أنه مثبت من متجر Google Play، على الرغم من أنه تم تثبيته يدوياً.
في المرحلة الثانية، يستخرج التطبيق ملفاً مخفياً ويقوم بتحميله في الذاكرة كملف تنفيذي، مما يبعده عن متناول أدوات الفحص الأمني الثابتة. تنتشر المرحلة الثالثة الحمولة النهائية، التي تنشط مجموعة برامج التجسس الكاملة وتؤسس اتصال القيادة والتحكم بالبنية التحتية للمهاجمين.
نصائح للحماية من حملة RedAlert
ينصح الخبراء المستخدمين الذين يشتبهون في إصابة أجهزتهم بإزالة تطبيق RedAlert المزيف فوراً وإجراء إعادة ضبط كاملة للمصنع، مع تجنب استعادة أي نسخ احتياطية تم إنشاؤها بعد تاريخ الإصابة الأولية. بالنسبة لمسؤولي الشبكات، يجب حظر جميع اتصالات DNS و HTTPS إلى نطاقات مواقع القيادة والتحكم المحددة. كما يجب إصدار تحذيرات فورية للموظفين حول هجمات التصيد الاحتيالي المتعلقة بالصراع.