Kampanye malware Android متنامية بسرعة تستخدم إطار عمل باسم MiningDropper لنشر تهديدات أكثر خطورة على الهواتف تحت ستار التطبيقات العادية. يصف الباحثون هذه الحملة بأنها نظام توصيل متعدد المراحل يمكن أن يؤدي إلى سرقة المعلومات، أو برامج التجسس على الوصول عن بعد (RATs)، أو برامج التجسس المصرفية، أو حتى نشاط تعدين العملات المشفرة على الأجهزة المصابة.
تصل الحملة إلى الضحايا من خلال صفحات التصيد الاحتيالي، وروابط وسائل التواصل الاجتماعي، والمواقع الاحتيالية التي تقلد الخدمات الموثوقة، بما في ذلك بوابات النقل، والبنوك، والعلامات التجارية للاتصالات، والتطبيقات الشهيرة للهواتف المحمولة. هذا الاستراتيجية الواسعة للصيد تمنح المهاجمين العديد من الطرق لخداع المستخدمين لتنزيل ملفات APK الضارة قبل بدء سلسلة الحمولة المخفية.
آلية عمل MiningDropper وانتشارها
لاحظ باحثو Cyble زيادة ملحوظة في نشاط MiningDropper وربطوا البرامج الضارة بحملات متعددة تعمل حاليًا في الهند وأوروبا وأمريكا اللاتينية وآسيا. ركزت إحدى المجموعات على المستخدمين الهنود باستخدام برامج سرقة المعلومات كطعم، بينما قامت مجموعة أخرى بتسليم BTMOB RAT لأهداف إقليمية أوسع من خلال صفحات تنزيل التطبيقات المزيفة.
يعتبر تأثير MiningDropper خطيرًا لأنه ليس مجرد تطبيق ضار واحد، بل هو إطار عمل قابل لإعادة الاستخدام يسمح لممثلي التهديدات بتبديل الحمولة النهائية حسب الحاجة. وجدت بيانات Cyble telemetry أكثر من 1500 عينة في البرية خلال الشهر الماضي، وأظهر العديد منها اكتشافًا منخفضًا جدًا من برامج مكافحة الفيروسات.
آلية الإصابة المعقدة
ما يجعل العملية أكثر صعوبة في إيقافها هو تصميمها متعدد الطبقات، والذي يمزج بين التعليمات البرمجية الأصلية، والأصول المشفرة، والتحميل الديناميكي لـ DEX، وشيكات مكافحة المحاكاة لتأخير التحليل. بدلاً من كشف البرامج الضارة النهائية دفعة واحدة، تقوم كل مرحلة بفتح المرحلة التالية فقط بعد اجتياز الشيكات السابقة، مما يقلل مما يمكن للمسح الثابت رؤيته على الفور.
تبدأ السلسلة بنسخة معدلة من مشروع Android مفتوح المصدر LumoLight، حيث يتم تشغيل الإجراءات الضارة من خلال المكتبة الأصلية librequisitionerastomous.so. داخل هذه المكتبة، يتم إخفاء السلاسل باستخدام تشفير XOR ويتم فك تشفيرها فقط أثناء وقت التشغيل، مما يجعل التعليمات البرمجية أصعب في الفحص وأسهل في البقاء أقل من عتبات الكشف.
تقوم هذه المكون الأصلي أيضًا بفحص تفاصيل المنصة، وبنية النظام، ومعلومات طراز الجهاز لتحديد ما إذا كان يعمل داخل محاكي أو بيئة تمكن الوصول لجذر الجهاز. إذا بدت البيئة مشبوهة من وجهة نظر المهاجم، يمكن للبرامج الضارة إيقاف نشاطها الضار، مما يساعدها على تجنب أنظمة الصندوق الرملي والتحليل الآلي.
عندما تجتاز هذه الشيكات، تقوم المكتبة بفك تشفير أصل يسمى x7bozjy2pg4ckfhn باستخدام مفتاح XOR ثابت، وتنتج حمولة DEX للمرحلة الأولى، وتقوم بتحميلها باستخدام DexClassLoader لمزيد من التنفيذ. تقوم هذه المرحلة الأولى بعد ذلك بفك تشفير ملف المرحلة الثانية باستخدام AES، باستخدام مواد مفتاح مشتقة من اسم الملف، وهو اختيار يخفي منطق المفتاح ويعقد الهندسة العكسية.
هذه المرحلة الثانية هي الجزء الذي سيلاحظه معظم الضحايا لأنها يمكن أن تعرض شاشة تحديث وهمية لمتجر Google Play، لجعل الإصابة تبدو روتينية. خلف هذه الشاشة، تقوم بفك تشفير المزيد من الملفات، وقراءة بيانات التكوين، وتحديد ما إذا كان سيتم تنشيط مسار عامل التعدين أو مسار الحمولة المحدد من قبل المستخدم للتثبيت لاحقًا.
في فرع حمولة المستخدم، تقوم البرامج الضارة بفك تشفير أرشيف ZIP ومكونات منفصلة، وإعادة بناء الحزمة النهائية، وتثبيت تهديد أكثر قدرة مثل BTMOB RAT من خلال المثبت للمرحلة الثالثة. ذكرت Cyble أن هذه الحمولة النهائية يمكنها سرقة بيانات الاعتماد من خلال حقن WebView، وتسجيل ضغطات المفاتيح، وتسريب البيانات، وإساءة استخدام خدمات الوصول، ودعم التحكم عن بعد في الوقت الفعلي، ومراقبة الشاشة، والتعامل مع الملفات، وتسجيل الصوت، وتنفيذ الأوامر.
بالنسبة للمدافعين، تُظهر هذه الحالة كيف تتجه تهديدات Android نحو أطر عمل برامج ضارة قابلة لإعادة الاستخدام تفصل بين التوصيل والخداع وتحقيق الدخل، مما يسمح لحملة واحدة بالتحول بسرعة بين سرقة المعلومات المصرفية، والوصول بأسلوب التجسس، والتعدين الصامت دون إعادة بناء مجموعة الأدوات بأكملها.
يمكن للمستخدمين تقليل المخاطر عن طريق تثبيت التطبيقات فقط من المتاجر الموثوقة، وتجنب الروابط المستلمة عبر الرسائل القصيرة أو البريد الإلكتروني أو وسائل التواصل الاجتماعي، والتحقق من الأذونات قبل التثبيت، وإبقاء Android محدثًا، واستخدام المصادقة متعددة العوامل لتطبيقات الخدمات المصرفية، والإبلاغ عن النشاط المالي المشبوه بسرعة في حالة الاشتباه في وجود اختراق.