حذر خبراء الأمن السيبراني من تصاعد مخاطر برمجية RedHook الخبيثة التي تستهدف مستخدمي هواتف أندرويد، بعدما كشفت شركة Group-IB المتخصصة في أبحاث الأمن السيبراني عن إصدار متطور من هذه البرمجية، القادر على السيطرة على الهاتف وسرقة البيانات والأموال دون أن يشعر المستخدم.
وتعتمد برمجية RedHook على أساليب احتيالية متقدمة لإقناع الضحايا بتثبيت تطبيقات مزيفة خارج متجر “غوغل بلاي”، قبل أن تحصل على صلاحيات واسعة داخل الجهاز، ما يمنح المهاجمين القدرة على التحكم الكامل في الهاتف والوصول إلى معلومات حساسة.
كيف تصل برمجية RedHook إلى الضحية؟
وفقًا للباحثين، يبدأ الهجوم بإرسال رابط خبيث إلى المستخدم عبر الرسائل النصية أو البريد الإلكتروني أو تطبيقات التواصل الاجتماعي، وقد يلجأ المحتالون أيضًا إلى إجراء مكالمات هاتفية ينتحلون خلالها صفة موظفي الدعم الفني أو ممثلي شركات وجهات موثوقة.
وخلال هذه المحاولات، يتم إقناع الضحية بتنزيل ملف بصيغة APK من موقع إلكتروني مزيف يبدو مشابهًا لمتجر غوغل بلاي الرسمي، رغم أنه لا يمت له بأي صلة.
وبمجرد تثبيت الملف، يطلب التطبيق مجموعة من الأذونات التي تبدو للمستخدم ضرورية لتشغيله، لكنها في الحقيقة تمنح البرمجية الخبيثة صلاحيات واسعة للتحكم في الهاتف.
ماذا تفعل البرمجية بعد تثبيتها؟
بعد حصولها على الأذونات المطلوبة، تبدأ برمجية RedHook في استغلال ميزات إمكانية الوصول داخل نظام أندرويد، لتفعيل أدوات المطور المخفية دون علم المستخدم.
ويمنح ذلك المهاجمين قدرة كبيرة على تنفيذ أوامر النظام والتحكم الكامل بالجهاز، بما يشمل:
تسجيل ضغطات لوحة المفاتيح.
مراقبة شاشة الهاتف.
التحكم في قفل الشاشة.
بث محتوى الشاشة عن بُعد.
الوصول إلى البيانات الحساسة المخزنة على الجهاز.
تنفيذ أوامر قد تؤدي إلى سرقة الحسابات أو الأموال.
ويجعل هذا المستوى من السيطرة الهاتف عرضة لعمليات احتيال مالية وسرقة بيانات شخصية قد تستخدم لاحقًا في هجمات إلكترونية أخرى.
إصدار أكثر تطورًا يصعب التخلص منه
وأشار الباحثون إلى أن النسخة الجديدة من RedHook تختلف عن الإصدارات السابقة بقدرتها على مقاومة محاولات الإزالة.
وكان باحثو شركة Cyble قد رصدوا البرمجية لأول مرة خلال العام الماضي، إلا أن النسخة الحالية أصبحت أكثر تعقيدًا من الناحية التقنية، حيث تستخدم وسائل تمنع إيقافها بسهولة.
ومن بين هذه الوسائل استخدام تقنية WakeLock التي تُبقي الجهاز في حالة تشغيل مستمرة، بما يساعد البرمجية على مواصلة عملها في الخلفية دون انقطاع.
كما تعتمد على نافذة صغيرة جدًا بحجم 1×1 بكسل تكاد تكون غير مرئية للمستخدم، ما يدفع نظام أندرويد إلى اعتبار التطبيق نشطًا وعدم إيقافه تلقائيًا.
ولا يتوقف الأمر عند هذا الحد، إذ تتكون البرمجية من وظيفتين مستقلتين، تستطيع كل واحدة منهما إعادة تشغيل الأخرى إذا حاول المستخدم أو النظام إيقاف إحداهما، وهو ما يجعل إزالة البرمجية أكثر صعوبة مقارنة بالبرمجيات الخبيثة التقليدية.
الدول المستهدفة بالهجمات
بحسب التقرير، ركزت الهجمات في البداية على مستخدمين داخل فيتنام، قبل أن يوسع منفذوها نطاق الاستهداف ليشمل إندونيسيا.
ويرى خبراء الأمن السيبراني أن نجاح هذه الأساليب قد يدفع المهاجمين إلى توسيع نشاطهم نحو أسواق ودول أخرى.. خاصة مع الاعتماد المتزايد على تطبيقات الهواتف الذكية في المعاملات المالية والخدمات الرقمية.
كيف تحمي هاتفك من برمجية RedHook؟
يؤكد خبراء الأمن أن الوقاية تظل الوسيلة الأكثر فعالية لتجنب الإصابة بهذه البرمجية.. وذلك من خلال اتباع مجموعة من الإرشادات المهمة، أبرزها:
تنزيل التطبيقات من متجر غوغل بلاي أو المتاجر الرسمية فقط.
تجنب تثبيت ملفات APK مجهولة المصدر.
عدم الضغط على الروابط المشبوهة التي تصل عبر الرسائل النصية أو البريد الإلكتروني أو تطبيقات المحادثة.
مراجعة الأذونات التي يطلبها أي تطبيق قبل منحها.
تحديث نظام أندرويد والتطبيقات باستمرار للحصول على أحدث التصحيحات الأمنية.
تجاهل أي اتصالات أو رسائل تدّعي أنها من جهات رسمية وتطلب تثبيت تطبيقات خارج المتاجر المعتمدة.
تحديثات مرتقبة لتعزيز الحماية
وأشار التقرير إلى وجود مؤشرات على أن نظام أندرويد قد يعالج هذا النوع من الهجمات مستقبلًا عبر تعزيز ميزة الحماية المتقدمة (Advanced Protection)، والتي قد تتضمن تقييد الوصول إلى خيارات المطور لمنع استغلالها من قبل البرمجيات الخبيثة.
ورغم هذه التحديثات المنتظرة، يؤكد المتخصصون أن وعي المستخدم يظل خط الدفاع الأول.. إذ إن معظم هذه الهجمات تعتمد على خداع الضحية ودفعه لتثبيت التطبيق بنفسه.. لذلك فإن الحذر من الروابط غير الموثوقة والتطبيقات مجهولة المصدر يبقى أفضل وسيلة لحماية البيانات والأموال من مخاطر برمجية RedHook وغيرها من التهديدات الإلكترونية الحديثة.







