أجهزة أندرويد في خطر جديد

اكتشف باحثون من شركة ESET الشهيرة في مجال مكافحة البرمجيات الخبيثة نوعاً جديداً من البرمجيات الخبيثة التي تطلب فدية ransomware  ، و لكن هذه المرة تستهدف أجهزة الأندرويد Android و ذلك للمرة الأولى .

ما هي هذه البرمجية ؟

البرمجية الجديدة و التي تحمل الاسم دوبل لوكر DoubleLocker ( القفل المضاعف ) ، و كما هو واضح من اسمها فإنها تقوم بعمل قفل ثنائي معاً فهي تقفل ( تشفر )البيانات في الأجهزة المصابة ، و تقفل الشاشة برقم بين PIN عشوائي ، لذلك فإن أجهزة الضحايا تبقى مقفلة حتى يتم دفع الفدية للهاكرز .

و يمكن لهذه البرمجية الخبيثة أن تصيب أي جهاز أندرويد Android بما فيها الأجهزة المروتة ( ذات صلاحيات الروت أو الجذر Root ) و الغير مروتة مما يُفقد المستخدم القدرة على استخدام هاتفه الشخصي .

و يقول الباحثون في شركة الحماية ESET أن هذه هي المرة الأولى التي تستطيع فيها برمجية خبيثة من الجمع بين تشفير البيانات و تغيير رقم PIN معاً .

كيف تتم الإصابة بها ؟

و تتم الإصابة بهذه البرمجية عن طريقة تحميل برنامج أدوب فلاش بلاير مزور Adobe Flash Player  من خلال بعض المواقع على شبكة الإنترنت

ما هي آلية عمل هذه البرمجية ؟

عند فتح برنامج أدوب فلاش بلاير Adobe Flash Player المزور فإنه يطلب تفعيل و استخدام خدمات جوجل بلاي “Google Play Service.” ليستغل سلسلة من الأذونات من خلال خدمات الوصول – و هي الخدمات المصممة لمساعدة ذوي الاحتياجات الخاصة لاستخدام هاتفهم .( فيديو في أسفل المقالة يشرح مبدأ عمل هذه البرمجية ) .

و حالما تحصل على الأذونات المناسبة تنصب نفسها كتطبيق أساسي لانشر Launcher يتمتع بصلاحيات تمكن من تغيير قفل الشاشة.

كما تقوم بصنع اختصار غير مرئي يتم تنشيطه ذاتياً كلما تم الضغط على زر القائمة أو الهوم home ليتم عرض رسالة من الهاكرز تطالب بدفع الفدية بعملة البيتكوين كما توضح طريقة الدفع .

و تقوم البرمجية أيضا بتغيير رقم البين PIN إلى رقم عشوائي دون أن يتم إرساله إلى المخترقين ، جاعلاً من المتسحيل افتراضاً أن يتم استعادة رقم ال PIN دون الخضوع لمطالب الهاكرز . و الذين يقومومون ب إعادة تعيين رقم ال PIN عن بعد حالما تدفع الفدية .

و تقوم أيضاً بتشفير الملفات على جهازك باستخدام خوارزمية تشفير AES و التي لسوء الحظ يتم تطبيقها بشكل فعال جاعلة من الصعب فك تشفيرها دون وجود مفتاح التشفير .

و يملك الضحايا مهلة 24 ساعة لكي يقوموا بدفع الفدية و التي تبلغ قيمتها حوالي 0.0130 بيتكوين من أجل فك تشفير البيانات . و لحسن الحظ فإنه لا يتم حذف الملفات في حال لم تقم بالدفع خلال المهلة المطلوبة و لكن تبقى الملفات مشفرة و الهاتف مقفول برمز غير معروف .

و يمكن معرفة إذا كانت ملفاتك مصابة أم لا من خلال رؤية اللاحقة .cryeye في نهاية الملفات المصابة .

هل هناك حل دون دفع الفدية ؟؟

في الوقت الحالي فإنه يمكن إزالة هذه البرمجية الخبيثة عن طريقة عمل ضبط مصنع factory reset و لكنك ستخسر كل ملفاتك في هذه الحالة .

طريقة أخرى خاصة بالهواتف المروتة ( ذات صلاحيات الروت أو الجذر Root ) و التي يكون وضع تصحيح USB أو debug mode مفعلاً قبل أن تتمكن البرمجية من قفل الهاتف فإنه يمكن تجاوز رمز الPIN من دون ضبط المصنع و ذلك من خلال ما يعرف ب جسر تصحيح أندرويد  Android Debug Bridge (adb) و الذي يتم من خلاله إزالة ملف النظام المسؤول عن تخزين رقم PIN ، و من ثم يتم الدخول إلى الهاتف بالوضع الآمن Safe Mode من أجل تعطيل صلاحيات الأدمن المعطاة للبرمجية الخبيثة و من ثم إزالتها .

و هذه العملية ليست سهلة و ينصح بعد إجرائها القيام بنقل الملفات المهمة إلى مكان آخر ثم عمل ضبط مصنع لإزالة كل الملفات و التأكد من زوال البرمجية الخبيثة .

و لكن تبقى الطريقة الأفضل لتجنب مثل هكذا برمجيات هي الوقاية بعدم تحميل الملفات من مصدر خارجي ، و تحميل البرامج فقط من المتجر الرسمي جوجل بلاي Google Play و للمطورين الموثوقين .

و كانت شركة أدوبي Adobe قد قامت في عام 2012 بإزالة برنامج الفلاش بلاير Flash Playe من متجر جوجل بلاي Google Play منهية بشكل رسمي تطوير هذا البرنامج لأجهزة الموبايل .

و كان ستيف جوبز Steve Jobs قد انتقد فيما سبق و بشدة برنامج الفلاش بلاير Flash Player كونه يستنزف البطارية و يحوي العديد من الثغرات للاختراق .

فيديو من ESET يظهر البرمجية الخبيثة DoubleLocker