الكشف عن مستويات جديدة من تهديدات التطبيقات الجوالة
تم النشر في الأحد 2016-06-26
كشفت “إنتل سكيوريتي” مؤخراً عن تقريرها الجديد الخاص بالتهديدات الأمنية للتطبيقات الجوالة تحت عنوان McAfee Labs Threats Report: June 2016، والذي يظهر تلاعب مجرمي الإنترنت بالتطبيقات الجوالة واستخدام طرق معينة للتحكم بتطبيقين أو أكثر لتنفيذ هجمات إلكترونية قادرة على اختراق بيانات المستخدم وكشف ملفاته الخاصة أو إرسال رسائل نصية وهمية أو حتى تحميل تطبيقات إضافية من دون موافقته بالإضافة إلى إمكانية إرسال بيانات موقع المستخدم للسيطرة على الخوادم. وقد سجلت “مكافي لابس” خلال هذا التقرير نشاطات مشابهة لأكثر من 5000 إصدار مختلف لـ 21 تطبيق جوال مصمم لتوفير خدمات مفيدة للمستخدمين مثل عرض ملفات الفيديو الجوالة أو مراقبة الحالة الصحية أو للتخطيط لرحلات السفر. ولسوء الحظ، فإن تأخر المستخدمين في تحديث هذه التطبيقات يزيد من احتمالية اختراق الإصدارات القديمة لديهم والتحكم بها من خلال أدوات وبرمجيات خبيثة عديدة.
ولعدة سنوات مضت، كانت تهديدات التطبيقات الجوالة تشكل تحدياً كبيراً لكثير من المستخدمين وذلك لماتسببه من أنشطة ضارة يقوم بها المخترقون باستخدام أكثر من تطبيق، واستغلال عملية التواصل بين هذه التطبيقات ضمن أنظمة تشغيل المستخدم في الأجهزة الجوالة. وعلى الرغم من تطبيق أنظمة التشغيل لعدة تقنيات لعزل التطبيقات ومنع الاتصال فيما بينها وتقييد قدراتها والتحكم بمستوى الأذونات التي تتمتع بها، إلا أن المنصات الجوالة تعمل بطرق مختلفة تسمح للتطبيقات بالتواصل فيما بينها والعمل معاً مما يسمح للمخترقين بالاستفادة من قدرات التواصل هذه وتنفيذ أغراضهم الخبيثة.
وقد حددت “مكافي لابس” ثلاثة أنواع من التهديدات التي يمكن أن تنجم عن عمليات التحكم بعدة تطبيقات جوالة وهي:
- سرقة المعلومات: يمكن لأي تطبيق يتمتع بقدرات وصول إلى معلومات سرية أو حساسة أن يتعاون بقصد أو بدون قصد مع تطبيق آخر أو أكثر لإرسال هذه المعلومات خارج الجهاز الجوال.
- السرقة المالية: وذلك من خلال أحد التطبيقات الذي يمكنه إرسال معلومات إلى تطبيق آخر يستطيع بدوره تنفيذ معاملات مالية أو من خلال القيام بمعاملات مالية من خلال واجهة برمجة التطبيقات لتحقيق أهداف مماثلة.
- سوء استخدام الخدمة: يمكن لتطبيق ما يسيطر على خدمة يقدمها نظام التشغيل أن يتلقى معلومات أو أوامر من تطبيق آخر أو من عدة تطبيقات لتنظيم مجموعة متنوعة من الأنشطة الخبيثة.
تتطلب عملية الاختراق التي تعتمد على عدة تطبيقات جوالة أن يكون تطبيق جوال واحد على أقل تقدير قادراً على الوصول إلى المعلومات الحساسة أو الخدمات وتطبيق آخر يمكنه الاتصال مع أنظمة أخرى خارج الجهاز المستخدم، وأن يتمتع هذان التطبيقان بالقدرة على التواصل فيما بينهما. يمكن لأحد هذين التطبيقين تسريب البيانات بشكل مقصود أو غير مقصود بسبب حالة تسريب عرضية للبيانات أو بسبب هجوم من برمجيات خبيثة. وقد تستخدم مثل هذه التطبيقات مساحة مشتركة (ملفات يمكن قراءتها من قبل الجميع) لتبادل المعلومات حول القدرات الممنوحة ولتحديد أي من هذه التطبيقات يتوضع على النحو الأمثل ليكون بمثابة نقطة استقبال للأوامر الخارجية.
وقال راج ساماني، نائب الرئيس والرئيس التنفيذي لتكنولوجيا المعلومات لمنطقة أوروبا والشرق الأوسط وإفريقيا في “إنتل سكيوريتي”: “القدرات المتطورة على كشف الاختراقات تدعم الجهود المتزايدة لمواجهة عمليات الاحتيال. ليس من المفاجئ أن يتمتع خصومنا بقدرات أكبر على مواجهة جهودنا الأمنية بمزيد من التهديدات التي يعملون على إخفاءها. يتمثل هدفنا اليوم في تعزيز جهودنا في مواجهة عمليات توجيه التطبيقات الخبيثة للتموضع ضمن أجهزتنا الجوالة، وتطوير أدواتنا وتقنياتنا الخاصة بالكشف عن التهديدات الأمنية الموجهة إلى التطبيقات الجوالة المتعددة”.
ويناقش تقرير “مكافي لابس” أيضاً دراسة مستقبلية تهدف إلى إيجاد الأدوات المناسبة لمواجهة تهديدات التطبيقات الجوالة المتعددة، هذه الأدوات التي تم استخدامها مسبقاً بشكل يدوي من قبل الباحثين المتخصصين في التهديدات الأمنية يمكن تحويلها في نهاية الأمر إلى أدوات ألية تقوم باكتشاف هذا النوع من التهديدات. وبمجرد الحصول على هذه الأدوات، يمكن مواجهة تهديدات التطبيقات الجوالة باستخدام تقنيات الحماية الجوالة. كما تشير الدراسة إلى مجموعة متنوعة من الخطوات التي يمكن أن يقوم بها المستخدمون للحد من هذه التهديدات بما في ذلك تحميل تطبيقاتهم الجوالة من مصادر موثوقة فقط وتجنب تحميل التطبيقات التي تحتوي على الإعلانات المدموجة، بالإضافة إلى عدم قيامهم بعمليات الجيلبريك jailbreak لأجهزتهم الجوالة، والأهم من ذلك كله هو حصولهم على آخر التحديثات للتطبيقات وأنظمة التشغيل.
كما يشير التقرير إلى عودة برمجيات حصان طروادة الخبيثة من نوع W32/Pinkslipbot للظهور مجدداً (وهي معروفة أيضاً بأسماء عديدة مثل Qakbot و Akbot و QBot). تتمتع هذه البرمجيات الخلفية بقدرات عديدة كتلك التي تمتلكها برمجيات الدودة الخبيثة والتي ظهرت في عام 2007 وبدأت تتطور بسرعة كبيرة وتحولت لبرمجيات خبيثة شديدة التأثير قادرة على سرقة البيانات المصرفية وكلمات مرور البريد الإلكتروني بالإضافة إلى بيانات الشهادات الرقمية. وقد ظهرت برمجيات حصان طراودة من نوع Pinkslipbot مرة ثانية في أواخر 2015 مع ميزات جديدة متطورة مثل القدرة على مكافحة برامج التحليل وقدرات أكبر على التشفير بعدة مستويات بهدف إحباط جهود المتخصصين في مكافحة مثل هذه البرمجيات الخبيثة. ويُظهر التقرير قدرات برمجيات حصان طروادة الخبيثة على التحديث الآلي وتسريب البيانات بالإضافة إلى جهود “مكافي لابس” في مراقبة تطورات برمجيات Pinkslipbot وعمليات سرقة البيانات في الوقت الحقيقي.
وأخيراً، تعمل “مكافي لابس” على تقييم الوضع العام لوظائف دلالات التجزئة (أو دلالات الهاش) وتحث الشركات بشكل دائم على تطبيق آخر التحديثات على أنظمتها وضمان حصول هذه الأنظمة على أحدث وأقوى معايير تجزئة البيانات.
الإحصائيات الخاصة بالتهديدات الأمنية للربع الأول من 2016
- برمجيات الفدية: ازدادت حالات ظهور أنواع جديدة من برمجيات الفدية بمعدل 24% للربع الأول نظراً لدخول مجرمين جدد من ذوي المهارات المتدنية لمجتمع البرمجيات الخبيثة الخاصة بالفدية المالية. ويرجع سبب ظهور هذا النوع من البرمجيات إلى استغلال البرمجيات الخبيثة والاستثمار بها بشكل واسع.
- البرمجيات الخبيثة الجوالة: ظهرت أنواع جديدة من هذه البرمجيات الخبيثة بمعدل 17% بشكل ربعي في الربع الأول من 2016. وقد نمت كامل هذه البرمجيات بمعدل 23% بشكل ربعي وبمعدل 113% خلال كامل السنة الماضية.
- البرمجيات الخبيثة لنظام التشغيل ماك: نمت هذه البرمجيات بسرعة كبيرة خلال الربع الأول ويرجع ذلك بشكل أساسي إلى زيادة استخدام برنامج VSearch. وبالرغم من أن عدد هذه البرمجيات الخبيثة مايزال منخفضاً، إلا أن البرمجيات الخبيثة لنظام التشغيل ماك قد ازدادت بمعدل 68% بشكل ربعي وبمعدل 559% خلال السنة الماضية.
- برمجيات ماكرو الخبيثة: تشهد هذه البرمجيات استمرارً في الزيادة التي بدأتها في عام 2015 مع زيادة ربعية لعينات جديدة من هذه البرمجيات بنسبة 42%. وماتزال الأنواع الجديدة من برمجيات ماكرو الخبيثة مستمرة في هجومها على الشبكات المؤسسية بشكل أساسي من خلال حملات متطورة من البريد المزعج التي تستخدم المعلومات التي تم تجمعها من الشبكات الاجتماعية لتظهر على شكل برمجيات آمنة.
- البرمجيات الشبكية Gamut: تحولت هذه البرمجيات إلى البرمجيات المزعجة الأكثر نشاطاً خلال الربع الأول وازدادت أعدادها بنسبة 50%. البرمجية الخبيثة الشبكية Kelihos والتي كانت الأكثر إنتاجاً للبريد الإلكتروني المزعج خلال الربع الأخير من 2015 قد تراجعت للمرتبة الرابعة خلال الربع الأول من 2016.