برنامج الابتزاز يظهر رسائل مخصصة للمستخدمين المستهدفين في 30 بلدا
كشفت كاسبرسكي لاب عن الجزء المخفي من الحملة الخبيثة التي عرفت العالم بالبرنامج “البوليسي” الخبيث Koler، المصمم للابتزاز والمستهدف للأجهزة المحمولة المعتمدة على منصة Android في أبريل 2014. ويتضمن هذا الجزء على بعض البرامج الابتزازية المستندة إلى المتصفح ومجموعة أداوات تخصص للاستغلال. ابتداء من 23 يوليو تم تعطيل المكون الخاص بالمحمول وبدأ خادم الأوامر والمراقبة بإرسال أوامر “إلغاء التثبيت” إلى المستخدمين، وقام بحذف التطبيق الخبيث بفعالية. إلا أن ما تبقى من المكونات الخبيثة الخاصة بالحواسيب الشخصية – بما فيها المجموعة المستغلة – لا تزال فاعلة. وتراقب كاسبرسكي لاب عن كثب البرمجية الخبيثة التي وضع وصفها الباحث الأمني المدعو بـKaffeine.
وقد اعتمد القائمون على الهجمات خطة غير عادية لفحص أنظمة الضحايا وتقديم برامج ابتزازية تعتمد على مكون التموضع ونوع الجهاز – جهاز محمول أو حاسوب شخصي. وقد كانت البنية التحتية لتحويل المستخدمين الخطوة التالية بعد أن يقوم المستخدم بزيارة إلى ما لا يقل عن 48 موقعا خبيثا يحتوي على مواد للكبار يستخدمها مصممو Koler. إن استخدام مثل هذه الشبكات لأغراض ابتزازية لم يأت بالمصادفة: غالبا ما يشعر المستخدمون بالذنب لزيارتهم إلى مثل هذه المواقع لذا يقومون بدفع الغرامة المزعومة “للسلطات”.
وتقوم هذه المواقع بتحويل المستخدمين إلى المركز الذي يعتمد على نظام التوزيع Keitaroبهدف إعادة تحويل المستخدمين إلى مواقع أخرى. انطلاقا من عدد الشروط، قد يؤدي التحويل الثاني إلى أحد السيناريوهات الثلاثة التالية:
* تثبيت برنامج الابتزاز Koler. عند تشغيل المحمول، يقوم الموقع تلقائيا بتحويل المستخدم إلى التطبيق الخبيث. إلا أن المستخدم لا يزال بحاجة إلى تنزيل وتثبيت التطبيق- المسمى باسم animalporn.apk – الذي هو في الواقع برنامج الابتزاز Koler. إنه يقوم بتعطيل الشاشة للجهاز المصاب ويطلب مقابلا ماليا ما بين 100 و300 دولار لإعادة التشغيل. ويُظهر البرنامج الخبيث رسالة معدلة من “الشرطة” ما يجعلها أكثر واقعية.
* التحويل إلى أي مواقع ابتزاز. يقوم مراقب خاص بتفقد ما إذا كان 1. وكيل المستخدم من إحدى البلدان الـ30 المصابة، 2. المستخدم لا يستخدم منصة Android، و3. الطلب لا يتضمن وكيل مستخدم Internet Explorer. في حال كانت الإجابة بنعم على النقاط الثلاث معا، سيرى المستخدم شاشة معطلة مماثلة لتلك التي يراها على الأجهزة المحمولة. إنها ليست إصابة بالبرمجية الخبيثة، بل نافذة ظهور مفاجئ، تظهر نموذج التعطيل. إلا أنه بإمكان المستخدم تجنب مثل هذا التعطيل بواسطة عملية بسيطة (alt+F4)
* التحويل إلى موقع يتضمن المجموعة المستغلة (Angler Exploit Kit). في حال استخدم صاحب الجهاز متصفح Internet Explorer، عندها سيتم توجيهه إلى مواقع تستضيف Angler Exploit Kit، المجموعة المستغلة لـ Silverlight، Adobe Flash و Java. في الوقت الذي كانت كاسبرسكي لاب تقوم بتحليل المجموعة كانت الشيفرة المستغلة فاعلة بالكامل؛ على الرغم من أنها لم تكن تحمل أي شحنة، إلا أن ذلك قد يتغير في المستقبل القريب.
في تعليق على المستجدات حول Koler، قال فيسنتي دياز، الباحث الأمني الأول بكاسبرسكي لاب: “أكثر ما يلفت نظرنا هو شبكة التوزيع المستخدمة في الحملة. عشرات المواقع الناشئة تلقائيا تقوم بتحويل المستخدمين إلى العقدة المركزية التي تقوم بدورها بتحويل المستخدمين مرة أخرى بواسطة نظام التوزيع. إن البنية التحتية تظهر مدى خطورة هذه الحملة. بإمكان المهاجمين إنشاء بنية مماثلة بسرعة بفضل الأتمتة الكاملة، تغيير الشحنة أو استهداف مستخدمين مختلفين. وقد بحث المهاجمون أيضا عن عدد من الطرق لتحويل الإيرادات إلى نقود عبر خطة متعددة الأجهزة فعليا”.
عدد الأجهزة المحمولة المصابة من بين 200 ألف زائر إلى الموقع المصاب منذ انطلاق الحملة، تركزت الغالبية في الولايات المتحدة الأمريكية (80% – 146 ألفا)، تليها بريطانيا (13692)، استراليا (6223)، كندا (5573)، السعودية (1975) وألمانيا (1278).
وقد تشاركت كاسبرسكي لاب النتائج التي توصلت إليها مع منظمتي الأوروبول والانتربول، وتتعاون حاليا مع وكالات إنفاذ القانون لبحث إمكانية إغلاق هذه الشبكة.
نصائح للمستخدمين – لضمان الأمن:
* تذكر أنك لن تحصل أبدا على رسالة “ابتزاز” رسمية من الشرطة، لذلك لا تدفع أي غرامة؛
* لا تقم بتنزيل أي تطبيق تجده خلال تصفح الانترنت؛
* لا تزر المواقع التي لا تثق بها؛
* استخدم حلا أمنيا موثوقا.
وتُعرّف كاسبرسكي لاب برنامج الابتزاز باسم Trojan.AndroidOS.Koler.a.
يمكنكم الإطلاع على النص الكامل للتقرير على موقع securelist.com
زوروا أيضا خارطة التهديدات الالكترونية بالزمن الفعليhttp://cybermap.kaspersky.com/.
