حسب تيكبامين، رصد خبراء الأمن قيام مجموعة سكار كروفت باختراق منصة ألعاب لنشر برمجية BirdCall الخبيثة التي تستهدف نظامي أندرويد وويندوز للتجسس على المستخدمين وسرقة بياناتهم الحساسة.
كشفت تقارير أمنية حديثة عن حملة تجسس إلكتروني معقدة شنتها مجموعة التهديدات المتقدمة المعروفة باسم سكار كروفت (ScarCruft)، المرتبطة بكوريا الشمالية. استهدفت هذه الحملة منصة ألعاب فيديو شهيرة عبر هجوم "سلسلة التوريد"، حيث تم حقن مكونات المنصة ببرمجية خلفية خبيثة تسمى BirdCall.
ما هي برمجية BirdCall الخبيثة وكيف تعمل؟
تُعد برمجية BirdCall تطوراً متقدماً لعائلة البرمجيات الخبيثة الشهيرة RokRAT. وبينما كانت الإصدارات السابقة تركز بشكل أساسي على مستخدمي نظام ويندوز، فإن الهجوم الأخير مكن المهاجمين من استهداف أجهزة أندرويد أيضاً، مما حولها إلى تهديد عابر للمنصات.
وفقاً لما ذكره تيكبامين، فإن البرمجية تعتمد على خدمات سحابية مشروعة مثل Dropbox وpCloud للتحكم وإدارة الأوامر (C2)، مما يجعل اكتشاف نشاطها المشبوه أمراً صعباً على أنظمة الحماية التقليدية.
كيف تم اختراق منصة الألعاب وما هي الأجهزة المتضررة؟
استهدفت الحملة منصة sqgame[.]net، وهي منصة ألعاب يستخدمها الكوريون المقيمون في منطقة يانبيان بالصين. تم تعديل صفحات التحميل الخاصة ببعض الألعاب لتقديم ملفات APK مفخخة لمستخدمي أندرويد، بينما تم تلغيم المكونات الخاصة بنظام ويندوز.
أبرز خصائص برمجية BirdCall على نظام ويندوز:
- التقاط صور فورية لشاشة المستخدم (Screenshots).
- تسجيل جميع ضربات لوحة المفاتيح (Keylogging) لسرقة كلمات المرور.
- سرقة محتويات الحافظة (Clipboard) للوصول إلى النصوص المنسوخة.
- تنفيذ أوامر النظام عن بُعد عبر الـ Shell.
- جمع البيانات الحساسة وتشفيرها قبل إرسالها للمهاجمين.
ما هي البيانات التي تسرقها برمجية سكار كروفت من أجهزة أندرويد؟
نسخة أندرويد من BirdCall لا تقل خطورة عن نسخة الحاسوب، حيث تم تصميمها لجمع أكبر قدر ممكن من المعلومات الشخصية. بدأت هذه النسخة في الظهور منذ أكتوبر 2024، وشهدت تطويرات متسارعة خلال فترة قصيرة.
المعلومات التي تجمعها البرمجية من الهواتف:
- قوائم جهات الاتصال بالكامل.
- الرسائل النصية القصيرة (SMS) الصادرة والواردة.
- سجلات المكالمات وتفاصيل التواصل.
- الملفات الوسائطية والصور والمستندات المخزنة.
- تسجيل الصوت المحيط عبر ميكروفون الهاتف.
لماذا تستهدف سكار كروفت هذه الفئة من المستخدمين؟
يرى الخلراء أن اختيار هذه المنصة تحديداً ليس عشوائياً، بل هو استراتيجية متعمدة نظراً لتاريخ مجموعة سكار كروفت في استهداف المنشقين والناشطين في مجال حقوق الإنسان. تعمل المنصة كنقطة عبور عالية المخاطر، مما يجعل مستخدميها صيداً ثميناً لعمليات التجسس الحكومية.
تستخدم البرمجية سلاسل تحميل متعددة المراحل، حيث تبدأ بسكربتات بلغة Python أو Ruby، وتحتوي على مكونات مشفرة بمفاتيح خاصة بكل جهاز لضمان عدم اكتشافها من قبل الباحثين الأمنيين. من المثير للاهتمام أن الهجوم استهدف تطبيقات أندرويد فقط، بينما ظلت إصدارات iOS وويندوز المكتبية في هذه المنصة سليمة حتى الآن.
نصائح تيكبامين لحماية جهازك من البرمجيات الخبيثة
في ظل تصاعد هذه الهجمات، ينصح تيكبامين المستخدمين بضرورة توخي الحذر عند تحميل التطبيقات من مصادر غير رسمية. إن الاعتماد على المتاجر الرسمية مثل جوجل بلاي هو الخط الدفاعي الأول ضد برمجيات مثل BirdCall.
ختاماً، يظهر تطور مجموعة سكار كروفت أن التهديدات الرقمية لم تعد تقتصر على منصة واحدة، بل أصبحت تستهدف النظم البيئية المتعددة للمستخدم، مما يتطلب وعياً أمنياً أكبر وتحديثاً مستمراً لكافة البرامج والتطبيقات الأمنية على أجهزة أندرويد وويندوز على حد سواء.
