انتشرت في الآونة الأخيرة ثغرة جديدة تصيب نظام أندرويد، وتسمح للمخترق بالقيام بعملية الـ Root عن بعد والتحكم بشكل كامل في الهاتف. تأتي هذه الثغرة تحت إسم Mazar Bot، وقام بإكتشافه باحثون من شركة Heimdal للحماية.

heimdal

تعتبر هذه الثغرة شديدة الخطورة لأنها تسمح للمخترق بأخذ صلاحيات الـ Admin للجهاز مما يتيح للمخترق:

  • مسح جميع بيانات المستخدم.
  • معرفة حينما يتم إقلاع الهاتف.
  • إرسال وقراءة الرسائل النصية.
  • إجراء الاتصالات.
  • قراءة حالة الهاتف ومكوناته.
  • التغيير في إعدادات الهاتف.
  • إصابة متصفح كروم.
  • الوصول للإنترنت.infected_phone

وتقوم الثغرة بتصفح الانترنت بشكل مجهول عن طريق متصفح TOR، كما يقوم بتنصيب Proxy من أجل أن يتمكن المخترق من القيام بإختراقات «الرجل-في-الوسط – Man-in-the-middle»، وبما أن الثغرة يمكنها قراءة الرسائل، إذا فتستطيع تجاوز حماية «التحقق ثنائي الخطوات – Two-factor verification» وهي الخدمة التي تستخدمها البنوك والشركات الكبرى لحماية بيانات المستخدمين مما يسمح للمخترق بسرقة جميع بيانات المستخدم المالية.

maninthemiddleattack

كيف تعمل الثغرة؟

على عكس معظم الثغرات، لا يقوم التطبيق الخبيث بخداع المستخدمين لتحميله من أحد المتاجر خارج الـ Play Store، بل يصل إلى المستخدم على هيئة رسالة نصية بهذا الشكل: "You have received a multimedia message from +[country code] [sender number] Follow the link http:www.mmsforyou [.] Net /mms.apk to view the message."

وعند الضغط على الرابط، سيتم تحميل ملف APK على جهاز المستخدم، ويطلب من المستخدم تثبيت تطبيق يدعى MMS Messages، ويطلب التطبيق صلاحيات Root، ونظرًا لإسم التطبيق الغير مثير للشبهات يقوم معظم المستخدمين بالموافقة على التنصيب، بعدها يقوم التطبيق بتنصيب متصفح TOR والاتصال بالانترنت بشكل مجهول، ثم يرسل الهاتف رسالة نصية إلى رقم ما في إيران ونص الرسالة هو "Thank you." ولكن هذا ليس كل ما بالأمر، فهذه الرسالة تحتوي على موقع الهاتف المصاب بشكل مخفي.

android-mazar-admin-rights

من خلف هذه الثغرة؟

على الأغلب مخترقين من روسيا لسببين: السبب الأول أن الثغرة تقوم بفحص الجهاز، وإذا وجدت لغة الجهاز روسية، لا يقوم التطبيق الخبيث بتثبيت نفسه. السبب الثاني هو أن هذه الثغرة كانت تباع على بعض المواقع الروسية على الـ Dark Web. ومن الجدير بالذكر أن بعد اختبار التطبيق الخبيث على موقع VirusTotal ثلاثة مضادات للفيروسات فقط من أصل 54 تمكنت من ضبط الفيروس. ولكن العدد قد زاد الآن بعد انتشار الثغرة.

hacking

كيف يمكنك حماية نفسك ضد هذه الثغرات؟

لا تقم بفتح أي روابط من الرسائل القصيرة. لا تثبت تطبيقات من خارج الـ Play Store إلا إذا كنت متأكد تمامًا من سلامتها. قم بتحميل مضاد للفيروسات قوي.

كما يمكنك رؤية دليلنا الشامل لحماية بياناتك وخصوصيتك لمعلومات أكثر.