تكنولوجيا الجريمة الالكترونية

25 مليون جهاز مصاب! كيف تكتشف وتزيل فيروس Agent Smith في هواتف أندرويد

أصاب نوع جديد من البرامج الضارة يستهدف الهواتف الذكية نحو 25 مليون جهاز هاتف في العالم، يوجد حوالي 15 مليون جهاز منها في الهند. ويُطلق على هذا البرنامج الضار اسم "العميل سميث" أو بالانكليزية "Agent Smith". وهو يستهدف نظام تشغيل الهواتف المحمولة العاملة بنظام أندرويد، ويستبدل التطبيقات المثبتة فيه بإصدار آخر ضار دون علم المستخدم.

إليك كيف يمكنك اكتشاف Agent Smith، وكيفية إيقافه، وكيفية حماية هاتفك أندرويد من البرامج الضارة.

ما هو البرنامج الضار "العميل سميث" أو "Agent Smith"؟

"العميل سميث" أو "Agent Smith" عبارة عن برمجية ضارة نموذجية (Modular Malware)، تستغل سلسلة من الثغرات الأمنية في أنظمة أندرويد Android لاستبدال التطبيقات الحالية الموثوقة (كواتساب، فيسبوك،...) بأخرى مقلدة تحوي نصوص برمجية خبيثة. حتى الآن لا يقوم التطبيق الخبيث الضار بسرقة البيانات. وبدلاً من ذلك، تعرض التطبيقات التي تم استبدالها عدداً كبيراً من الإعلانات للمستخدم، وقد تسرق رصيداً من الجهاز لدفع ثمن الإعلانات المعروضة بالفعل.

يحمل البرنامج الضار لقب "Agent Smith"، الذي يحمل نفس اسم شخصية Matrix الشهيرة والتي يتم ترميز الشخصية في الفيلم بفايروس. إن فريق بحث شركة Check Point الأمني يُعَلّل سبب هذه التّسمية للفايروس، بأنّ الأساليب التي تستخدمها البرامج الضارة هذه "Agent Smith" للنشر متشابهة مع أساليب "العميل سميث" في سلسلة الأفلام Matrix.

يقول جوناثان شيمونوفيتش، رئيس قسم أبحاث الكشف عن تهديدات الأجهزة المحمولة: "البرامج الضارة تهاجم التطبيقات المثبتة بواسطة المستخدم بصمت، مما يجعل من الصعب على مستخدمي أندرويد العاديين مكافحة مثل هذه التهديدات من تلقاء أنفسهم". "إنّ الجمع ما بين منع التهديدات المتقدمة من جهة، وذكاء التهديدات من جهة أخرى، مع تبنّي نهج "النظافة أولاً" لحماية التجهيزات الرقمية، هو الحماية الأفضل ضد هجمات البرمجيات الخبيثة المتنقلة مثل "Agent Smith".

علاوة على ذلك، أصاب فايروس "العميل سميث" ("Agent Smith") عدداً كبيراً من الأجهزة. معظم الإصابات بهذا الفايروس وقعت في الهند. تشير دراسة شركة Check Point إلى وجود حوالي 15 مليون جهاز يحمل فايروس  Agent Smith في الهند. في حين أنّ أقرب دولة لها في عدد الإصابات هي بنغلاديش، حيث يوجد حوالي 2.5 مليون جهاز مصاب. كما أنّ هناك أكثر من 300000 إصابة بفايروس "العميل سميث" في الولايات المتحدة الأمريكية وحوالي 137000 إصابة في المملكة المتحدة أيضاً.

كيف يعمل البرنامج الخبيث Agent Smith؟

تعتقد شركة Check Point للأبحاث أنّ البرنامج الضار Agent Smith مصدره من شركة صينية تساعد مطوري Android الصينيين على نشر التطبيقات وترويجها في الأسواق الخارجية غير سوق جوجل بلاي Google Play.

ظهر هذا البرنامج الضار أولاً في متجر التطبيقات التابع لجهة خارجية وهو متجر "9Apps". حيث يستهدف متجر التطبيقات هذا (9Apps) التابع لجهة خارجية كلاًّ من المستخدمين الهنود والعرب والإندونيسيين، وهذا ما يُفّسّر العدد الكبير من الأجهزة المصابة بهذا الفايروس في تلك المناطق. بالمناسبة هذا سبب وجيه لنُذَكّرَكُم بتجنّب تنزيل تطبيقات Android من متاجر التطبيقات التابعة لجهات خارجية مثل (9Apps) و (Aptoide) وغيرهما.

البرنامج الخبيث Agent Smith يعمل على ثلاث أطوار (مراحل):

  1. يقوم التطبيق الذي يحمل الفايروس ويسمّى بالانكليزية (Dropper App) بجذب الضحية لتثبيته طوعاً. وبالمناسبة إنّ (Dropper App) هو أي تطبيق يوحي لك أنّه يقوم بشيءٍ معيّنٍ، في حين أنه يحمل بداخله برنامجاً آخر كالبرنامج الخبيث "Agent Smith". ويحتوي على ملفات ضارة مشفرة وعادة ما تأخذ شكل "أداة مساعدة" على شكل برنامج تعديل الصور أو الألعاب أو التطبيقات المتعلقة بالجنس.
  2. يقوم هذا التطبيق (Dropper App) بفك تشفير الملفات الضارة الموجودة داخله وتثبيتها على هاتف الضحيّة.  وتستخدم البرامج الضارة هذه خدمات موجودة على جهاز الهاتف مثل "Google Updater" أو "Google Update لـ U" أو "com.google.vending" لإخفاء نشاطها، علماً أنّ هذه الخدمات تستخدم لتحديث تطبيقات هواتف أندرويد.
  3. يقوم التطبيق الضار بإنشاء قائمة بالتطبيقات المثبتة على جهاز هاتف الضحيّة. إذا كان أحد التطبيقات المثبّتة على الهاتف يُطابق أحد التطبيقات التي يستهدفا الفايروس، عندها يقوم الفايروس بإدراج الكود الخبيث داخل التطبيق الأصلي، مستبدلاً التطبيق الأصلي كما لو كان تحديث للتطبيق الأصلي الموجود.

كيف يعمل البرنامج الخبيث Agent Smith

تتضمن القائمة التي يستهدفها الفايروس Agent Smit تطبيقات شهيرة مثل WhatsApp وOpera وSwiftKey وFlipkart وTruecaller، من بين بقية التطبيقات المثبّته على هاتف الضحيّة.

ومن المثير للاهتمام، أن الفايروس "Agent Smith" يجمع بين العديد من الثغرات الأمنية في Android، بما في ذلك كلاً من ثغرات Janus وBundle وMan-in-the-Disk. هذا التجمع من الثغرات يُنْشِئ عملية عدوى ثلاثية المراحل تسمح لصانع البرمجية الخبيثة "Agent Smith" ببناء شبكة روبوت مسيّرة عن بعد (عبر الإعلانات) أو ما يسمّى بالانكليزية بالـ Botnet. يعتقد فريق البحث في Check Point أن "Agent Smith" ربما تكون أول حملة من نوعها تعمل على مبدأ "الدمج والتسليح" لجميع الثغرات معاً، مما يجعل "Agent Smith" من أكثر البرامج الضارة.

إقرأ أيضاً: كيف تحمي هاتفك الذكي من الفيروسات

أجزاء البرنامج الخبيث "Agent Smith":

يستخدم البرنامج الخبيث "Agent Smith" بنية معيارية لإصابة الأهداف، وتتألف من:

  • مُحَمّل Loader.
  • النّواة Core.
  • الإقلاع Boot.
  • المُرَقّع Patch.
  • حزمة أدوات تطوير الدعايات AdSDK.
  • المُحَدّث Updater.

أجزاء البرنامج الخبيث

إن التطبيق الحامل للفايروس (Dropper App) عبارة عن تطبيق نظامي معاد ضبطه بحيث يحتوي أيضاً على أداة تحميل ضارة.

يستخرج "المُحَمّل" (Loader) وحدة الإقلاع النمطية "Core" ويقوم بتشغيلها، وهي بدورها تتصل بخادم مركز الأوامر والتحكم (C&C) للبرنامج الضار. يقوم مركز الأوامر والتحكم (C&C) بإرسال قائمة بالبرامج المستهدفة (Prey List). وفي حالة العثور على أي من هذه التطبيقات المستهدفة، يستخدم "Agent Smith" ثغرة أمنية لحقن وحدة الإقلاع Boot Module داخل التطبيق المستهدف، وبالتالي يصبح التطبيق مصاباً.

في المرة التالية التي يبدأ فيها تشغيل التطبيق المصاب، تقوم وحدة التمهيد Boot Module بتشغيل وحدة الترقيع Patch Module، والتي تقوم باستخدام وحدة أدوات تطوير الدعايات AdSDK لتقديم الإعلانات والبدء في تحقيق إيرادات.

نقطة أخرى مثيرة للاهتمام في "Agent Smith" هو أنه لا يتوقف عند استهداف تطبيق واحد فقط. فإذا عثر "Agent Smith" على العديد من التطبيقات المطابقة للأهداف المرسلة إليه من مركز السيطرة والتحكم، فإنّه يقوم باستبدال كل إصدار من هذه التطبيقات المستهدفة بإصدار ضار خبيث. يُصدر "Agent Smith" أيضًا تصحيحات تحديث ضارة Update Patches للتطبيقات الحاملة للفايروس، وتواصل بدورها العدوى، وتُقَدّم حِزَم إعلانات جديدة.

إزالة التطبيقات الحاملة لـ Agent Smith من Google Play:

كانت النقطة الرئيسية للإصابة بفايروس "Agent Smith" هي متجر تطبيقات الطرف الثالث (9Apps)، ومع ذلك لم يكن Google Play بمنأى عن هذا. حيث اكتشفت شركة Check Point أحد عشر تطبيقاً موجوداً على متجر Google Play، تحتوي هذه الطبيقات الإحدى عشر على مجموعة "ضارة ولكنها نائمة" من الملفات المرتبطة بفايروس "Agent Smith"، هذه التطبيقات الإحدى عشر الموجودة على متجر Google Play تستخدم تقنية انتشار مختلفة قليلاً عن التطبيقات الموجودة على متجر (9Apps) ولكن لها نفس الهدف النهائي (الإعلانات).

أبلغت شركة Check Point عن هذه التطبيقات الضارة إلى شركة Google، وتمت إزالتها جميعًا من متجر Google Play.

إقرأ أيضاً: 5 نصائح للمساعدة في حمايتك عبر الإنترنت وتجنّب اختراقك

كيفية اكتشاف وإزالة Agent Smith من أندرويد:

يمكنك الكشف عن "Agent Smith" بسهولة. فمثلاً إذا بدأت التطبيقات الاعتيادية التي تقوم باستخدامها فجأةً في إظهار كميّة هائلة من الإعلانات، فهذه علامة أكيدة على وجود خطئٍ ما. من الصعب بل من المستحيل الخروج من الإعلانات التي تعرضها البرامج الضارة، وهو مؤشر آخر. ولكن بما أنّ "Agent Smith" يعمل بصمت تقريباً على إظهار شرائط الإعلانات، فإن ملاحظة التغييرات الطفيفة على تطبيقاتك أمر صعب للغاية.

كما تجدر الإشارة هنا إلى أن التطبيقات التي تقوم فجأة بعرض كم هائل من الإعلانات ليست علامة على وجود "Agent Smith" بالتحديد. إذ هناك أنواع أخرى من البرامج الضارة تعمل في نظام Android لعرض المزيد من الإعلانات بهدف زيادة الإيرادات. يمكن أن يكون جهازك مصاب بنوع مختلف من البرامج الضارة التي تعمل بنظام Android غير "Agent Smith".

إذا كنت تشك في وجود خطأ ما، فيجب عليك إجراء فحص كامل لجهازك عن طريق مكافح فايروسات Anti-Virus أو مكافح برامج ضارة Anti-Malware.

يمكنك استخدام تطبيق Malwarebytes Security إصدار Android (مجاني، اشتراك مدفوع) وهو أداة مكافحة البرامج الضارة. قم بتنزيل Malwarebytes Security وقم بإجراء فحص كامل للنظام. يمكن لهذه الأداة أن تلتقط وتزيل أي تطبيقات ضارة.

إذا استمر "Agent Smith" بالعمل أو أي من البرامج الضارة الأخرى التي تعمل على نظام Android، فننصحك بطرق محددة لإزالة البرامج الضارة التي تعمل بنظام Android دون إعادة ضبط المصنع. حيث يوجد العديد من تطبيقات إزالة البرامج الضارة التي تعمل بنظام Android دون حذف أي بيانات!

المصدر

مقالات مرتبطة