بعد iOS: الكشف عن برنامج تجسس إسرائيلي على الأندرويد

بعد iOS: الكشف عن برنامج تجسس إسرائيلي على الأندرويد

كشفت 'غوغل' وشركة 'Lookout'، مساء اليوم الثلاثاء، عن أداة تجسس جديدة على الأندرويد تم تطويرها من قبل شركة 'NSO Group' الإسرائيلية، التي تعمل في مجال بيع أدوات تجسس إلكتروني (سيبرانية) لأجهزة أمنية وحكومات.

يشار إلى أن شركة 'NSO' التي تم بيعها قبل ثلاث سنوات لشركة 'فرانسيسكو بارتنرز' قد احتلت العناوين في العام الماضي بعد أن تبين أن برامج تجسسها على جهاز الآيفون استخدمت للتجسس على ناشط في مجال حقوق الإنسان في الإمارات.

وفي شباط/ فبراير الماضي، تبين أن البرنامج تم استخدامه من قبل السلطات في المكسيك لمتابعة ناشطين في مجال الصحة العامة، والذين كانوا يكافحون من أجل ضريبة تهدف إلى التقليل من استهلاك المشروبات الغنية بالسكر.

وبعد الكشف عن ذلك، ادعى مسؤول العلاقات العامة في الشركة، زمير دحبش إن 'الشركة تبيع لوكالات حكومية مصادق عليها وتلتزم بقوانين وأنظمة الرقابة على السلاح'. وأضاف أن الشرطة لا تقوم بتفعيل البرنامج بنفسها، وإنما تطالب زبائنها باستخدام منتجاتها بشكل قانوني. على حد قوله.

يشار إلى أن البرنامج المشهور الذي جعل شركة 'NSO' تفوز بعقود كثيرة مع حكومات وأجهزة أمنية حول العالم تدعى 'بيغاسوس'. وتباهت الشركة لسنوات بأن أحدا لم يتمكن من اكتشاف البرنامج. ولكن، وفي آب/ أغسطس الأخير تم الكشف للمرة الأولى عن البرنامج الخاص بالآيفون، وذلك بعد أن بدأ الناشط في مجال حقوق الإنسان الإماراتي، أحمد منصور، بتلقي رسائل مشبوهة.

وفي حينه، قام منصور بنقل الرسائل إلى الباحثين في منظمة 'Citizen Lab' التي تعاونت مع شركة 'Lookout' في فك ألغاز البرنامج الخبيث. واكتشفوا أن البرنامج كانت مرتبطا بنحو 200 خادم مختلف، بعضها كان مسجلا على اسم 'NSO Group'، كما عثر المحققون على رموز كثيرة تشير إلى 'بيغاسوس'.

ويقول محققون من 'غوغل' و'Lookout'، اليوم، إنهم اكتشفوا نسخة من البرنامج لأندرويد. وكتبت شركة 'Lookout' في مدونتها أن 'غوغل تطلق على هذا التهديد Chrysaor أو شقيق بيغاسوس'. كما كتبت 'للتبسيط، فإننا سنتعامل مع البرنامج كبيغاسوس للأندرويد. ولكن إذا وضعنا الأسماء جانبا، فإن التهديد واضح: لـNSO Group يوجد برامج تجسس ذكية في عدة أنظمة تشغيل، تستخدم اليوم لمتابعة البشر. هذا البرنامج الخبيث أعد ليكون سريا ومركزا، وهو ذكي جدا'.

وتم الكشف عن النسخة الخاصة بالأندرويد بعد أن استخدم المحققون معلومات تم جمعها من برنامج الـiOS من أجل محاولة اكتشاف حالات زرع أخرى للبرنامج. وجاء في التقرير أن المحللين تمكنوا من تشخيص مجموعة معينة من التطبيقات التي لم تكن موجودة في أي مكان آخر في العالم، بما في ذلك المتاجر الإلكترونية المعلنة للتطبيقات، أو في مصادر معلنة مثل VirusTotal. وبحسبهم فإن التطبيقات ذاتها احتوت على معلومات ظهرت في حالات معدودة فقط كشفت عن العلاقة مع بيغاسوس.

وبحسب غوغل، فإن البرنامج الخبيث تم اكتشافه في 40 جهازا في العالم، وتبين أن ثلثها في إسرائيل. كما اكتشفت عمليات زرع للبرنامج في جورجيا والمكسيك وتركيا والإمارات ودول أخرى.

وجاء أن البرنامج، مثل برامج تجسس أخرى كثيرة، تعرض عدة إمكانيات لجمع معلومات وإخراجها من هاتف الهدف، مثل متابعة الكتابة على لوحة المفاتيح، وتصوير الشاشة، والاحتفاظ بسجل التصفح، وتسجيلات صوتية، واستخراج معلومات من تطبيقات متداولة لنقل الرسائل، بما في ذلك 'واتساب'. كما أن البرنامج مزود بأدوات تهدف إلى محو أي إشارة لوجوده في حال ثارت شكوك حول اكتشاف البرنامج.

وتقول شركة 'Lookout' إن الفرق الكبير بين النسخة الجديدة وبين تلك التي كانت معدة لـiOS، هو في المستوى العالي نسبيا والذي كان مطلوبا لاختراق أجهزة آيفون وآيباد. وتضيف أن نسخة بيغاسوس الخاصة بـiOS استخدمت أدوات لاستغلال ثلاث ثغرات (Day 0) لم تكن معروفة، في حين أن النسخة المعدة لأندرويد لم تشتمل على أي منها. وبدلا من ذلك، فإن البرنامج استخدم الأسلوب المعروف باسم 'Framaroot' للحصول على التحكم الكامل بالجهاز. كما زود المهاجمون البرنامج بإمكانية طلب الإذن في حال تمكن الجهاز من صد الهجوم.