شركة StrongPity APT تنضم إلى مجال برامج Android الضارة ضد الحكومة السورية

لوحظ استخدام مجموعة StrongPity ، وهي مجموعة APT من تركيا ، تطبيقات Android الخبيثة لاستهداف مسؤولي الحكومة السورية. هذه هي المرة الأولى التي يستخدم فيها الخصم برمجيات Android الضارة في هجماته ، وهي عبارة عن نسخة معدلة من حصان طروادة من تطبيق Android الخاص بالضحية.

ماذا حدث؟
كشف تحقيق أجرته Trend Micro أن التطبيق الخبيث الجديد يمكنه سرقة قوائم جهات الاتصال وجمع الملفات بامتدادات محددة من الجهاز المصاب. يُعتقد أن ملف APK الخبيث ينتشر عبر هجوم حفرة الماء. ربما كان المهاجمون قادرين على اختراق موقع الحكومة الإلكترونية السورية الرسمي ، وبالتالي استبدلوا ملف تطبيق Android الرسمي بملف خبيث مزيف. تم العثور على عنوان URL ، حيث تمت استضافة ملف APK الضار (https: // egov [.] sy / mobile / egov [.] apk) ، وهو يقدم إصدارًا نظيفًا من التطبيق مرة أخرى ، مما يشير إلى أن الإصدار الضار قد تم الآن إزالة.

معلومات إضافية
يحتوي عنوان URL الذي تم استخدامه لتسليم ملف APK الضار على ستة إصدارات أخرى على الأقل من نفس التطبيق ، بالإضافة إلى أسماء الحزم المطابقة (com [.] egov [.] ap [p]. *) المتاحة على VirusTotal. تحقق الباحثون من كل هذه العينات وذكروا أن جميع إصدارات التطبيق هذه لم تكن ضارة. تم تطوير هذه الإصدارات السابقة بين فبراير 2020 ومارس 2021. علاوة على ذلك ، اكتشف بعض موفري حلول مكافحة الفيروسات عينة التطبيقات الضارة مثل Bahamut. ومع ذلك ، لا يمكن إجراء تأكيد واثق.
استنتاج
من خلال تطوير برنامج ضار قائم على نظام Android ، حاولت مجموعة StrongPity APT توسيع نطاق هجومها. يشير استهداف بوابة تطبيقات حكومية لتجاوز أمان Android إلى أن الفاعل المهدد مركز ومتحفز ولديه خطط واضحة لتحقيق أهدافه.