كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة جديدة قادرة على الوصول عن بعد لأجهزة أندرويد، تُعرف باسم “Oblivion RAT”. تعمل هذه البرمجية كمنصة متكاملة لخدمات البرمجيات الخبيثة، محولةً صفحات التحديثات المزيفة لمتجر Google Play إلى عملية تجسس شاملة تستهدف مستخدمي الهواتف الذكية.
تحظى عملية Oblivion RAT باهتمام متزايد نظرًا لشموليتها واحترافيتها، حيث تغطي كامل مراحل الهجوم بدءًا من تسليم البرمجية الخبيثة وحتى التحكم المباشر بالأجهزة المستهدفة. تم رصد هذه البرمجية في منتديات الجرائم الإلكترونية، مما يشير إلى انتشارها ضمن أوساط الجهات الخبيثة.
Oblivion RAT: منصة تجسس متكاملة
يتم بيع Oblivion RAT في المنتديات السرية بأسعار تبدأ من 300 دولار شهريًا، مع خيارات اشتراك أطول تصل إلى 2200 دولار لتراخيص مدى الحياة. يشمل هذا العرض أدوات لبناء برمجيات خبيثة، بالإضافة إلى لوحات تحكم لإدارة الأجهزة عن بعد.
يتضمن الحزمة أداة بناء عبر الويب لإنشاء ملفات APK للتجسس، وأداة منفصلة لإنشاء صفحات تحديثات مزيفة لمتجر Google Play، ولوحة تحكم لإدارة الأجهزة عن بعد بشكل مباشر. يستخدم المهاجمون هذه الأدوات لاستهداف المستخدمين.
آلية عمل Oblivion RAT
يقوم المهاجمون بتوزيع البرمجية الخبيثة عبر تطبيقات المراسلة ومنصات المواعدة، خداعًا للضحايا للاعتقاد بأنهم يقومون بتثبيت تحديث شرعي من Google Play. وقد تمكن محللو iVerify من تحديد البرمجية الخبيثة وتحليل سلسلة العدوى بالكامل.
تتبع عملية الإصابة نموذجًا من مرحلتين. تحمل البرمجية الأولية ملفًا مضغوطًا يحتوي على برمجية التجسس، بالإضافة إلى ثلاث صفحات HTML تحاكي واجهة تحديث Google Play بشكل مقنع.
صفحات التحديث المزيفة
تعرض الصفحة الأولى شريط تقدم وزيف فحص أمني يظهر رسائل مثل “لا يوجد رمز خبيث” و”مطور موثوق”. هذه الرسائل تهدف إلى طمأنة المستخدم ومنحه الثقة في عملية التثبيت.
تنتقل البرمجية إلى صفحة ثانية تقدم قائمة مزيفة لمتجر Play تحت اسم المطور “LLC Google”، مع تقييم 4.5 نجوم وزر “تحديث” يؤدي إلى بدء عملية التثبيت الجانبي. وهذا يعتمد على إيهام المستخدم بوجود تحديث للتطبيقات.
تتضمن الصفحة الثالثة إرشادات للمستخدم لتمكين تثبيت التطبيقات من مصادر غير معروفة، وتقديم ذلك كخطوة أمنية روتينية. هذا يمهد الطريق لاختراق أعمق للجهاز.
الاستيلاء على الجهاز عبر AccessibilityService
بمجرد أن يتبع الضحية هذه الخطوات، تقوم البرمجية الخبيثة بالسيطرة على الجهاز بهدوء وتعمل في الخلفية دون أي واجهة مرئية. يمنح هذا الأمر للمهاجم تحكمًا شبه كامل في الجهاز المستهدف.
يتمكن المهاجم من الوصول إلى الرسائل النصية القصيرة، وتتبع ضغطات المفاتيح، وبيانات التطبيقات المالية، وجلسات الشاشة المباشرة. هذا يفتح الباب أمام سرقة البيانات الحساسة.
آلية الاستغلال الخبيثة
الجزء الأكثر خطورة في هجوم Oblivion هو استغلاله لخدمة “AccessibilityService” في أندرويد للاستيلاء بصمت على التحكم الكامل بالجهاز. بعد تثبيت البرمجية الخبيثة، تطلب الوصول إلى AccessibilityService من خلال محاكاة دقيقة جدًا لشاشة إعدادات الوصول في أندرويد.
يتم التحكم في كل عنصر من عناصر هذه الشاشة، بما في ذلك العنوان وعناوين الأقسام وزر “تمكين”، بواسطة المشغل عبر أداة بناء APK. هذا يجعل خداع المستخدم أسهل وأكثر فعالية.
عندما ينقر الضحية على “تمكين”، تستولي البرمجية الخبيثة بالكامل على واجهة الجهاز. تنتقل إلى إعدادات أندرويد لتمنح نفسها تلقائيًا جميع الأذونات الخطيرة، مثل الوصول إلى الرسائل النصية، والتخزين، ومستمع الإشعارات، وحقوق مسؤول الجهاز، دون إظهار أي مطالبات للمستخدم. خاصية “hide_permission_process” تجعل هذه العملية غير مرئية تمامًا.
التأثيرات وعواقب الاختراق
مع سيطرة كاملة، يستطيع المشغل فتح جلسات VNC مباشرة مع إمكانية التحكم الكامل باللمس، وتسجيل كل ضغطة مفتاح مع تحديد التطبيق والطابع الزمني، واعتراض جميع الرسائل النصية القصيرة، بما في ذلك رموز OTP ومفاتيح المصادقة الثنائية، قبل وصولها إلى الضحية.
تتضمن ميزة “تقييم الثروة” المدمجة تصنيف تطبيقات المستخدم المثبتة إلى فئات مثل البنوك، والعملات المشفرة، والخدمات الحكومية، مما يمنح المهاجم نظرة سريعة على الحسابات الأكثر قيمة لاستهدافها. هذا يشير إلى أن الدوافع المالية هي المحرك الأساسي لهذه البرمجية الخبيثة.
يجب على مستخدمي أندرويد تنزيل التطبيقات فقط من متجر Google Play الرسمي، ورفض أي طلب لمنح أذونات الوصول إلى تطبيقات غير معروفة. يجب التعامل مع أي مطالبات تطلب تمكين التثبيت الجانبي خارج Play Store كعلامة حمراء. ويجب على المؤسسات فرض سياسات إدارة الأجهزة التي تقيد التثبيت من مصادر غير معروفة ومراقبة النشاط المشبوه لخدمة AccessibilityService.