التطبيق الذي يعد بحل مشكلات الاتصال بالإنترنت عبر الهاتف المحمول يخفي خطرًا أكبر. يؤدي التثبيت إلى برنامج قادر على مراقبة كل ما يحدث على الهاتف الخليوي تقريبًا.
وحدد باحثون من منظمة Osservatorio Nessuno الإيطالية البرمجيات الخبيثة المسماة Morpheus. يقدم البرنامج نفسه كتحديث للنظام أو تكوين للشبكة ويمكنه الوصول إلى الشاشة والرسائل والصوت والفيديو وحتى ربط الأجهزة الإضافية بـ WhatsApp دون أن يلاحظ المالك ذلك على الفور. وقد حظيت القضية بالاهتمام هذا الأسبوع بعد صدور التقرير المفصل.
كيف يبدأ الهجوم بانقطاع الخدمة
ويشارك مشغلو الهاتف في المرحلة الأولى في بعض الحالات المسجلة. قاموا بقطع الوصول إلى الإنترنت عبر الهاتف المحمول للهدف. وبعد فترة وجيزة، تصل رسالة نصية قصيرة تحتوي على رابط لموقع ويب يحاكي المساعدة من المشغل، مثل Fastweb في إيطاليا. يميل المستخدم، بدون اتصال، إلى اتباع الإرشادات وتثبيت التطبيق المقترح.
يحتوي التطبيق الأولي، المسمى dropper، على اسم الحزمة com.android.cored. يتم استخدامه فقط لتثبيت المرحلة الثانية، الوكيل الرئيسي مع الحزمة com.android.core والإصدار 2025.3.0. العملية برمتها تستغل ثقة المستخدم في تحديثات النظام.
- يتحقق القطارة مما إذا كان الوكيل مثبتًا بالفعل
- نسخ ملف APK الخاص بالوكيل من الموارد الداخلية
- يطلب أذونات لتثبيت التطبيقات الخارجية
- يقوم بالتثبيت التلقائي للبرامج الضارة الكاملة
ويتجنب هذا النهج عمليات الاستغلال المعقدة ويعتمد على الهندسة الاجتماعية، التي يصنفها الباحثون على أنها برامج تجسس منخفضة التكلفة.
تتجاوز ميزات Morpheus الأساسيات
بعد التثبيت، يقوم الوكيل بتمكين خدمات الوصول إلى Android. تتيح لك هذه الأداة، التي تم إنشاؤها لمساعدة الأشخاص ذوي الإعاقة، قراءة الشاشة ومحاكاة اللمسات والتفاعل مع التطبيقات الأخرى. يدعي Morpheus أنه أداة وصول مشروعة للحصول على هذه الأذونات.
يطلب البرنامج أيضًا الحصول على إذن مسؤول الجهاز ويتيح تصحيح الأخطاء اللاسلكية عبر ADB. وبهذا، فإنه ينفذ أوامر الصدفة لمنح جميع الأذونات الخطيرة بصمت. فهو يقوم بتعطيل مؤشرات الكاميرا والميكروفون، ويمنع برامج مكافحة الفيروسات من العمل بشكل صحيح، ويضبط إعدادات البطارية لتظل نشطة في الخلفية.
القدرات الرئيسية المؤكدة في التقرير:
- لقطة شاشة في الوقت الحقيقي
- تسجيل الصوت والفيديو
- قراءة الإخطارات ومحتوى التطبيق
- ربط جهاز إضافي على الواتس اب باستخدام القياسات الحيوية المزيفة
- تعطيل أيقونات خصوصية النظام
- تنفيذ أوامر ADB لرفع الامتيازات
- استمرار بعد إعادة تشغيل الهاتف الخليوي
- دعم نماذج ولغات Android المتعددة
أثناء العملية، تعرض البرامج الضارة شاشات تحديث وإعادة تشغيل زائفة. وبينما يرى المستخدم تقدمًا محاكى، ينفذ التطبيق إجراءات في الخلفية، بما في ذلك فتح واتساب لإضافة جهاز يتحكم فيه المهاجم.
الاتصال مع شركة اعتراض القانونية الإيطالية
تشير البنية التحتية لـ Morpheus إلى شركة IPS Intelligence، وهي شركة إيطالية تتمتع بخبرة تزيد عن 30 عامًا في مجال تقنيات الاعتراض القانوني لقوات الشرطة والوكالات الحكومية. تعمل الشركة في أكثر من 20 دولة وتدرج عملاءها كوكالات أمن عام في إيطاليا.
يحتوي رمز البرنامج الضار على تعبيرات باللغة الإيطالية، بما في ذلك المراجع الثقافية النموذجية للتطورات المماثلة الأخرى في البلاد. وربط الباحثون عناوين IP ومكوناتها بالمجالات المرتبطة بـ IPS والشركات ذات الصلة مثل Rever Servicenet وIris Telecomunicazioni.
على عكس برامج التجسس الأكثر تعقيدًا التي تستخدم عيوب النقر الصفري، يتطلب Morpheus اتخاذ إجراء من جانب المستخدم. تعمل هذه الميزة على تقليل تكاليف التطوير ولكنها تحافظ على الفعالية ضد أهداف محددة، خاصة في سياقات المراقبة المستهدفة.
تدابير وقائية ضد هذا النوع من التهديد
يوصي الخبراء بالحذر بشأن الروابط المستلمة عبر الرسائل القصيرة التي تطلب تثبيت التطبيق. يجب أن تأتي تحديثات Android والتطبيقات الرسمية دائمًا عبر متجر Google Play أو من خلال تكوين النظام نفسه.
يمكن للمستخدمين التحقق من إمكانية الوصول وأذونات مسؤول الجهاز في إعدادات Android. تستحق التطبيقات التي تتطلب الوصول إلى شاشة واسعة أو التي تعمل في الخلفية اهتمامًا إضافيًا. يساعد الحفاظ على تحديث النظام في الحد من بعض تقنيات رفع الامتيازات.
وتعزز هذه القضية المناقشات حول استخدام الحكومات لأدوات المراقبة والحاجة إلى الشفافية من جانب مشغلي الهاتف عندما يقطعون الخدمات بطريقة مستهدفة.
التفاصيل الفنية للوكيل الرئيسي
تدير CoreService الخاصة بـ Morpheus إجراءات إمكانية الوصول في مسارات عمل تسلسلية. يتولى أحدهم منح الأذونات، بينما يفتح الآخر تطبيق WhatsApp ويحاكي القياسات الحيوية. يسمح لك تراكب SYSTEM_ALERT_WINDOW برسم واجهات وهمية أعلى أي تطبيق، بما في ذلك حظر لمسات الشاشة مؤقتًا أثناء العملية.
تتضمن أوامر ADB منح الأذونات مساءً، وتعديلات DeviceConfig لإخفاء مؤشرات المستشعر، وحظر حزم مكافحة الفيروسات المعروفة. ينظم البرنامج النصي Commands.txt هذه الخطوات في مراحل مختلفة، بحيث يتكيف مع الشركات المصنعة مثل Samsung وXiaomi وOppo.
يدعم الإصدار الذي تم تحليله العديد من ROM والنماذج، مما يدل على بذل جهد للعمل على مجموعة واسعة من أجهزة Android الموجودة في السوق.