تطبيقات ضارة مُعتمة تعتمد على الذكاء الاصطناعي تتجنب اكتشاف برامج مكافحة الفيروسات لنشر حمولة ضارة

 

 

 ظهرت موجة جديدة من تطبيقات أندرويد الخبيثة التي تنتحل صفة خدمة توصيل كورية شهيرة، وتتميز بتقنيات تشويش متطورة مدعومة بالذكاء الاصطناعي.

تعمل هذه التطبيقات على تجاوز أساليب الكشف التقليدية عن الفيروسات، مع استخراج معلومات المستخدم الحساسة.

أظهرت الجهات الفاعلة المسؤولة عن هذه الحملة معرفةً متقدمةً بثغرات أمن الأجهزة المحمولة، حيث جمعت بين استراتيجيات تهرب متعددة للحفاظ على عملياتها دون أن يتم اكتشافها.

يعتمد البرنامج الخبيث على آلية توصيل ذكية تتخفى كتطبيق تتبع طرود شرعي.

عندما يمنح المستخدمون الأذونات اللازمة، يعرض التطبيق واجهة تشبه خدمة التوصيل الحقيقية، ويتصل بمواقع تتبع أصلية باستخدام أرقام تتبع مُولّدة عشوائيًا.

يعمل هذا النهج الهندسي الاجتماعي على بناء الثقة بينما يقوم التطبيق بتنفيذ أنشطة ضارة في الخلفية، مما يجعله خطيرًا بشكل خاص على الضحايا غير المطمئنين.

 محللو أمن A E C هذا البرنامج الخبيث بعد رصد أنماط انتشار متكررة عبر قنوات مختلفة.

 التحقيق أن الجهات الفاعلة في مجال التهديد استخدمت تقنيات التعتيم المُحسّنة بالذكاء الاصطناعي لإخفاء وظائف التطبيق، مما جعل الهندسة العكسية أكثر صعوبة على باحثي الأمن.

التهرب من الكشف من خلال التعتيم الذكي

تكمن التقنية المتطورة لهذه التطبيقات في تطبيقها للتعتيم. فقد استخدم المطورون تقنية التعتيم PGd المدعومة بالذكاء الاصطناعي، محولين جميع أسماء الفئات، ومعرفات الوظائف، وأسماء المتغيرات إلى سلاسل نصية كورية ثمانية أحرف لا معنى لها.

يختلف هذا النهج عن التعتيم التقليدي لأن الأحرف الكورية العشوائية تُصعّب بشكل كبير عملية الكشف القائمة على الأنماط على أدوات الأمن الآلية.

 

ظلت أسماء الموارد دون تعديل، مما يشير إلى استراتيجية تعتيم انتقائية مصممة خصيصًا لإخفاء الوظائف الأساسية للتطبيق مع الحفاظ على سلامة هيكلية كافية لتشغيله بشكل طبيعي.

 الأمن أنه بعد جمع المعلومات من الأجهزة المصابة، يقوم البرنامج الخبيث بتسريب البيانات عبر مواقع ويب شرعية مخترقة، تُعاد استخدامها كخوادم قيادة وتحكم.

 قام مُنفذو التهديد بتشفير عناوين مدونات مُستضافة على بوابات كورية، وتحميلها ديناميكيًا عند تشغيل التطبيق.

تُنشئ هذه التقنية حاجز كشف إضافي، حيث تظهر الخوادم الخبيثة الفعلية كحركة مرور ويب حميدة لأنظمة مراقبة الشبكة، مما يُخفي عملية سرقة البيانات عن البنية التحتية الأمنية.

 تضمنت العينات المُحددة خمسة رموز تجزئة MD5 مؤكدة، مع عناوين URL مُرتبطة تُشير إلى نطاقات كورية مُخترقة تُستخدم لاستخراج البيانات.

ينبغي على مُختصي الأمن إعطاء الأولوية للكشف عن هذه العينات وحظرها عبر شبكاتهم، مع تطبيق ضوابط أذونات تطبيقات أكثر صرامة لتطبيقات خدمات التوصيل.