استغلت برمجية خبيثة ثغرة أمنية موجودة في نظام أندرويد، وتحديداً الرسائل النصية القصيرة SMS ورسائل الوسائط MMS، لتعزز انتشارها لدى مستخدمي نظام تشغيل الهواتف الذكية الأشهر، وتسمح بالسيطرة على الجهاز بالكامل.
وقالت Andra Zaharia، الخبيرة الأمنية في شركة Heimdal Security المُتخصصة في مجال الأمن الرقمي، إن البرمجية الجديدة تحمل اسم Mazar، ومن خلالها يتم تضمين رابط داخل رسالة نصيّة عادية لخداع المُستخدم والسيطرة على جهازه، وتنفيذ عمليات تخريبية بصلاحيات المُدير. وأضافت أن الثغرة بدأ استغلالها على نطاق واسع، لكن حتى الآن لا يُمكن حصر نشاطها في رقعة جغرافية مُحددة، ويعود تاريخ رصدها لأول مرّة إلى شهر نوفمبر/تشرين الثاني من عام 2015 من قبل شركة Recorded Future، بحسب ما أفادت البوابة العربية للأخبار التقنية.
وتطلب الرسالة من المُستخدم الضغط على الرابط الموجود ضمنها للاطلاع على المُحتوى بالكامل. وبمجرد الضغط على الرابط يتم تحميل ملف بلاحقة APK –وهي نفس لاحقة تطبيقات أندرويد– يحمل الاسم MMS Messaging ليظن المُستخدم أن الملف مُتعلق بالنظام، وبهذه الحالة سوف يحصل التطبيق على صلاحيات للبدء بالانتشار.
وبعد استغلال الثغرة الأمنية، تحصل البرمجية الخبيثة على صلاحيات المُدير، للبدء بإرسال رسائل نصيّة دون علم المُستخدم، أو سرقة جلسات التصفّح داخل المُتصفحات، وهذا بدوره يمنح المُخترق صلاحيات للاطلاع الكامل على سجل المواقع، بالإضافة إلى كلمات المرور المُخزّنة أو البيانات التي تُرسل وتُستقبل.
إضافة إلى ذلك، يُمكن لبرمجية Mazar حذف جميع مُكونات الهاتف مع إمكانية قراءة الرسائل النصيّة الواردة، ومن ثم يُمكن للمُخترق تجاوز نظام تسجيل الدخول بخطوتين Two-Step Verification المُستخدم في الكثير من الخدمات على الإنترنت.
وتطورت البرمجية الخبيثة وطريقة استغلالها لثغرة النظام مع مرور الوقت، لتشمل بذلك مخاطر مثل التنصّت على اتصال المُستخدم وهو ما يُعرف بـMan in the Middle، بحيث يقرأ المُخترق البيانات المُتبادلة بين المُستخدم وأي موقع على الإنترنت.
وتعصف هذه البرمجية بجميع أنظمة أندرويد دون استثناء، لكن الباحثين رصدوا أن الأجهزة التي تستخدم اللغة الروسية لا يُمكن أن تُصاب بها، حيث تُحلل البرمجية الخبيثة لغة الجهاز أولاً، لتتوقف عن العمل فورياً إذا كانت اللغة الروسية هي لغة الجهاز.
ويُمكن لمُستخدمي أندرويد حماية أجهزتهم من هذه الثغرة بتجنّب الضغط على أي رابط يصل عبر الرسائل القصيرة ما دامت من مصدر غير موثوق، أو الامتناع عن تحميل وتثبيت أي ملف عبر الإنترنت.
يُشار إلى أن برمجية Mazar تُباع بشكل أساسي في الويب المُظلم Dark Web، وهو جزء من شبكة الإنترنت لا يُمكن الوصول إليه إلا من خلال استخدام برنامج TOR ومُتصفحه الخاص، حيث وصفت شركة Heimdal Security أن المُخترقين دائماً ما يعملون على تطوير أساليبهم المُستخدمة من أجل الحصول على المال، لكنها أشارت إلى أن خطورة Mazar تكمن في كونها تعتمد على TOR لإخفاء الاتصالات التي تقوم بها.