تحذير سيمانتيك من برمجيات خبيثة تصيب هواتف أندرويد

حذرت شركة سيمانتيك المتخصصة بأمن البرمجيات من برمجية خبيثة Malware خطيرة تُسمى Android.counterclank يمكن أن تصيب هواتف أندرويد ثم تصبح قادرة على تلقي الأوامر عن بعد لسرقة المعلومات من الجهاز. وأحصت الشركة ثلاثة عشر تطبيقاً في سوق أندرويد يحمل هذه البرمجية والتي اعتبرتها الشركة أخطر تهديد أمني ظهر حتى الآن منذ بداية هذا العام، وقالت أنه من المحتمل أنها أصابت ما يقدر بأكثر من 5 ملايين مستخدم.

من جهتها، أصدرت شركة Lookout المتخصصة بأمن نظام أندرويد تصريحاً تقول فيه بأن البرمجية -التي أثارت نوعاً من الذعر- هي في الحقيقة ليست ببرمجية خبيثة، مُعتبرةً أن سيمانتيك أخطأت التقدير وبالغت في تقريرها. وقالت بأن البرمجية المذكورة هي برمجية إعلانية سليمة، يستخدمها بعض المطورين في تطبيقاتهم بنظام أندرويد. وقالت بأنها تتشارك في خصائصها مع العديد من البرمجيات الإعلانية الأخرى الشهيرة.

وقامت Lookout بتفنيد النقاط التي اعتمدت سيمانتيك عليها لتصنيف البرمجية على أنها خطيرة، وقالت أن البرمجية تقوم بالفعل بتمييز المستخدم عن طريقة رقم IMEI الخاص بجهازه، لكنها تقوم بإرساله إلى مخدم الشركة بشكل مشفر، أي أن الشركة في النهاية تستطيع التمييز بين المستخدمين دون أن تحددهم بشكل شخصي. كما أن البرمجية قادرة على إرسال الإعلانات بطريقة التنبيهات الدفعية Push Notifications، وهي طريقة إعلانية مُزعجة لكن هذا لا يجعل منها برنامجاً ضاراً بحسب الشركة. كما تطرقت الشركة إلى تفنيد مجموعة من النقاط الأخرى التي حذرت منها سيمانتيك.

يُذكر أن غوغل تعتمد منهجاً مفتوحاً في سوق تطبيقات أندرويد حيث تسمح لجميع المطورين برفع تطبيقاتهم دون أن تقوم الشركة بمراجعتها، وهذا على عكس ما تفعله آبل التي تقوم بمراجعة وتفحص التطبيقات التي يقوم المطورون برفعها إلى متجر آبل. هذا تسبب مسبقاً في تسلل بعض البرمجيات الضارة بالفعل إلى سوق أندرويد، لكن عملياً يتمتع أندرويد المبني على نواة لينوكس ببنية آمنة تجعل من هذه البرمجيات شبه معدومة التأثير إلا في حالات نادرة جداً، ودائماً ما تقوم غوغل بحذف مثل هذه البرمجيات بشكل فوري عندما يتم إبلاغها عنها.

وتحث غوغل مستخدمي أندرويد على قرائة مُراجعات المستخدمين وتقييماتهم لأي تطبيق قبل أن يقوموا بتحميله على أجهزتهم.

النسخة الحديثة لحماية اندرويد من كاسبريسكى لاب

تعلن شركة كاسبرسكي لاب عن صدور النسخة الحديثة لحماية اندرويد Kaspersky Mobile Security Lite. وتتوفر النسخة المحدثة على موقع Android Market وتتمتع بمجموعة خصائص جديدة Anti-Virus Lite تهدف إلى تأمين حماية أفضل من العدد المتزايد للبرمجيات الخبيثة التي تستهدف منصة اندرويد. فبالإضافة إلى الخصائص الدفاعية الأساسية مثل مكافح السرقة ومرشح الاتصالات والرسائل النصية القصيرة، يعد المنتج المحدث الأكثر تقدما من بين المنتجات الأمنية ويتوفر مجانا.

Anti-Virus Lite أداة سهلة الاستخدام تقوم بعملية التفقد عند الطلب لبرامج اندرويد المنزلة حديثا. هذه الخاصية الجديدة تعمل بتقنية Cloud Security Scanner من كاسبرسكي لاب التي تستخدم شبكة كاسبرسكي للأمان السحابية للاستجابة السريعة للمخاطر لدى نشوئها. وينصح مستخدمو Kaspersky Mobile Security Lite بمسح جميع البرامج الجديدة باستخدام Anti-Virus Lite  لضمان أمن بياناتهم الشخصية.

أما النسخة غير المجانية- التي ينصح باستخدامها من يولي اهتماما كبيرا بأمان هاتفه الذكي- فهي توفر خصائص للتصدي للبرمجيات الخبيثة، تعطيل الاتصالات والرسائل غير المرغوب بها، تراقب الهاتف عن بعد في حال ضياعه أو سرقته وتخفي البيانات الحساسة. الخاصية المكافحة للفيروسات تقوم بمسح جميع التطبيقات الجديدة تلقائيا، وتعطل التطبيقات الخبيثة.

عند تحديث النسخة غير المجانية للمنتج يحصل المستخدم على بنية مكافحة للسرقة مضافا إليها خصائص مثل SIM Watch التي تقوم بتعطيل الهاتف فور استخراج الشريحة منه. خاصية  Privacy أي الخصوصية تقوم بإخفاء سجل الهاتف ومجلدات بمحتويات الرسائل القصيرة وغيرها من البيانات المشابهة عن أعين جهات ثالثة.

وتتوفر النسخ المجانية وغير المجانية من منتج Kaspersky Mobile Security Lite بـ13 لغة. ويمكن الاطلاع على سعر النسخة غير المجانية حسب المنطقة على موقع Android Market.

والجدير بالذكر أن مستخدمى منصة تويتر الاجتماعية قد تعدوا حاجز 100 مليون مستخدم نشيط حول العالم ولذلك سيبقى تويتر  في سعي متواصل لتحسين نظامه الإعلاني من خلال حمايته.

ويرى خبراء كاسبرسكي لاب أن هذه المنصة (ويطلق على المنصة اسم Tilded، وذلك لميل مطوريها إلى  استخدام ملفات تبدأ برمز (~)) قد استخدمت في صنع Stuxnet وDuqu وغيرها من البرمجيات الخبيثة.

وتبين وجود صلة بين Duqu وStuxnet أثناء تحليل حوادث تتعلق بـDuqu. خلال تحري نظام مصاب يعتقد بأنه هوجم في أغسطس 2011، وجد برنامج تشغيل يشبه ذلك الذي استخدم من قبل إحدى نسخ Stuxnet. على الرغم من وجود شبه واضح بين البرنامجين، كانت هناك فروق في التفاصيل مثل تاريخ توقيع الشهادة الرقمية. ولم يتم العثور على ملفات أخرى لها علاقة بنشاط Stuxnet إلا أنه عثر على آثار نشاط Duqu.

وقد سمحت معالجة المعلومات المتحصل عليها والبحث في  قاعدة بيانات البرمجيات الخبيثة في كاسبرسكي لاب باكتشاف برنامج تشغيل له مواصفات مشابهة. وقد اكتشف هذا البرنامج قبل أكثر من عام، غير أنه قد أنشئ في يناير 2008 أي قبل عام من إنشاء برامج التشغيل المستخدمة من قبل Stuxnet. ووجد خبراء كاسبرسكي لاب 7 أنواع من برامج التشغيل لها مواصفات مشابهة. والجدير بالذكر أن 3 منها لا يعرف مع أي من البرمجيات الخبيثة استخدمت.

وفي هذا الشأن قال الكسندر غوستيف، كبير خبراء الأمن في كاسبرسكي لاب: “لا يمكن أن تنسب البرمجيات الخبيثة المجهولة إلى نشاط Stuxnet وDuqu. إن أساليب نشر Stuxnet كانت لتجلب عددا كبيرا من الإصابات باستخدام برامج التشغيل هذه. كما لا يمكن أن تنسب إلى Duqu وذلك بالنظر إلى تاريخ إنشائها. نحن نتوقع أن تكون برامج التشغيل قد استخدمت في نسخة مبكرة من Duqu، أو للإصابات ببرمجيات خبيثة مختلفة جذريا لها منصة واحدة وعلى الأرجح أن فريقا واحدا قد أنجزها”.

ويعتقد خبراء كاسبرسكي لاب أن المجرمين الالكترونيين الذين يقفون وراء Duqu وStuxnet ينشئون نسخة جديدة من برنامج التشغيل عدة مرات في السنة وهي تستخدم في تحميل البنية الأساسية من البرنامج الخبيث. بعد إجراء الهجمات الجديدة وبمساعدة برنامج خاص يتم تغيير مواصفات برنامج التشغيل مثل مفتاح التسجيل. وانطلاقا من نوع المهمة، يمكن أن يتم توقيع الملف بشهادة رقمية قانونية أو يبقى بدون توقيع.

وبهذه الطريقة يكون Duqu وStuxnet مشروعين منفصلين تم إعدادهما على أساس منصة واحدة – Tilded– والتي طورت في أواخر 2007 واوائل 2008. ويبدو أن هذا المشروع لم يكن وحيدا، غير أن أهداف ومهام مختلف النسخ من برنامج حصان طروادة لا تزال غامضة. كما لا يمكن استبعاد أن يتواصل العمل على تطوير هذه المنصة، كما أن اكتشاف Duqu يعني أن تغييرات تطرأ أو ستطرأ على المنصة.