كيف أصابت 50 تطبيقًا تبدو شرعية 2.3 مليون جهاز Android
يتبع الاكتشاف نمطًا أصبح المتجه الرئيسي للتهديدات على الهاتف المحمول: كود خبيث مخفي داخل تطبيقات مساعدة تجتاز عملية المراجعة الآلية لـ Google Play. حدّدت فرقة بحث التهديدات في McAfee برنامج NoVoice مضمنًا في أكثر من 50 تطبيقًا — مقدَّمة كمديري معارض صور وأدوات تنظيف الجهاز والألعاب غير الرسمية — جمعت مجتمعةً أكثر من 2.3 مليون تنزيل قبل الاكتشاف.
ما يميز NoVoice عن برامج الإعلانات المزعجة البسيطة هو عمقه التقني. بدلًا من الاعتماد على ثغرة واحدة، ينشر NoVoice سلسلة استغلال منهجية ضد 22 ثغرة أمنية موثقة تمتد على نافذة زمنية من 2016 إلى 2021. ليست هذه ثغرات صفرية: كل منها يمتلك رقم CVE منشورًا وتصحيحًا متاحًا. لكن التصحيحات تحتاج إلى تعاون الشركة المصنّعة وموافقة مشغل الشبكة وإجراء المستخدم للوصول إلى الأجهزة المنشورة — وسلسلة تحديث Android المجزأة تعني أن مئات الملايين من الأجهزة لا تزال على مستويات تصحيح أمان من 2020 أو أقدم.
بمجرد أن تحقق أي من الثغرات الـ 22 وصولًا على مستوى الجذر، ينفّذ NoVoice إجراءه الأكثر أثرًا: يستبدل مكتبات النظام الحرجة بنسخ خبيثة تعترض استدعاءات النظام على مستوى النواة. هذا يعني أن NoVoice لا يعمل كتطبيق — بل مدمج في نظام التشغيل ذاته. يتصل البرنامج الخبيث بعد ذلك بخوادم القيادة والسيطرة لتسليم معرّفات الأجهزة وإصدار النواة وإصدار Android وقائمة التطبيقات المثبتة وحالة الجذر.
لماذا فشل نموذج أمان Google Play هنا
استثمرت Google بشكل كبير في بنية تحتية أمنية لـ Play Store، بما فيها Google Play Protect. تحايل NoVoice على جميع طبقات التحليل الساكن وصندوق الحماية السلوكي والكشف بالتعلم الآلي.
يُعزى فشل التحليل الساكن إلى إيصال الحمولة عبر الإخفاء في الصور (steganography): لا يحتوي التثبيت الأولي للتطبيق على أي كود خبيث قابل للاكتشاف. تُسلَّم سلسلة الاستغلال كأصل صوري بعد التثبيت، وتُفكَّك في الذاكرة وتُنفَّذ دون كتابة ملف بتوقيع خبيث معروف على القرص.
يعكس فشل صندوق الحماية السلوكي عدم تطابق التوقيت. البنية التحتية لوضع الحماية الخاصة بـ Google تُشغّل التطبيقات في بيئات معزولة وترصد سلوكها لثوانٍ أو دقائق. صُمِّمت سلسلة استغلال NoVoice لتُفعَّل فقط بعد استيفاء شروط محددة — الجهاز متصل بالطاقة، المستخدم غير نشط، التطبيق يعمل لأكثر من 24 ساعة.
إعلان
ما يجب على فرق أمن المؤسسات فعله
1. التدقيق الفوري في مستويات تصحيح Android عبر جميع الأجهزة المُدارة
الإجراء الأكثر أهمية على مستوى المؤسسة هو جرد شامل لمستويات تصحيح أمان Android على كل جهاز مُدار — مملوك للشركة أو BYOD مُسجَّل في MDM. الأجهزة ذات مستوى تصحيح أمان أقدم من مايو 2021 عرضة تمامًا لسلسلة استغلال NoVoice الكاملة. اسحب تقرير مستوى التصحيح من منصة MDM لديك (Intune أو Jamf أو VMware Workspace ONE) اليوم. يجب عزل أي جهاز أقل من مستوى تصحيح مايو 2021 عن الوصول إلى شبكة الشركة فورًا في انتظار تحديث نظام التشغيل أو استبدال الجهاز.
2. نشر قوائم السماح بالتطبيقات على جميع أجهزة Android الخاصة بالشركة
دخل NoVoice عبر Play Store الذي تعامله معظم سياسات المؤسسات كمصدر موثوق. يجب مراجعة هذا الافتراض. يجب تهيئة أجهزة Android الخاصة بالشركة بقائمة سماح بالتطبيقات — كتالوج محدد من التطبيقات المعتمدة التي يمكن تثبيتها، مع حجب جميع الأخرى بالسياسة. هذا قابل للتطبيق عبر آلية Google Play المُدارة لـ Android Enterprise المتوفرة في كل منصة MDM رئيسية. التطبيقات المُزالة من Play Store يجب أن تُزال تلقائيًا من الأجهزة المُسجَّلة عبر push من MDM.
3. تفعيل الفحص المعزز لـ Play Protect ومراقبة تنبيهاته
وضع الفحص المعزز لـ Google Play Protect — الذي يُرسل بيانات تحليل التطبيقات إلى خوادم Google للفحص المعمق — متاح على معظم أجهزة Android لكن ليس مُفعَّلًا دائمًا بصورة افتراضية. تحقق من أن Play Protect نشط على جميع الأجهزة المُدارة عبر سياسة الامتثال في MDM. تنبيهات Play Protect على أي جهاز مُدار يجب أن تُشغّل نفس سير عمل الاستجابة مثل تنبيه الكشف عن البرامج الخبيثة من أي أداة أمان أخرى.
4. تطبيق ضوابط على مستوى الشبكة للكشف عن إشارات القيادة والسيطرة من الأجهزة المحمولة
تتطلب مرحلة ما بعد الاستغلال في NoVoice الاتصال ببنية تحتية للقيادة والسيطرة. الكشف على مستوى الشبكة عن إشارات القيادة والسيطرة المحمولة — استعلامات DNS غير معتادة، واتصالات بنطاقات مسجّلة حديثًا، وحركة مشفرة إلى نطاقات IP غير تجارية على منافذ غير معيارية — يوفر طبقة كشف تعمل بمعزل عن نظام التشغيل المخترق في الجهاز.
المشكلة الهيكلية: تجزئة تصحيح Android مسؤولية دائمة للمؤسسات
NoVoice جديد في تطوره التقني لكن ليس في فئة الثغرة التي يستغلها. سلسلة تحديث نظام Android — مصنّع الجهاز ← مشغل الشبكة ← المستخدم النهائي، دون جدول زمني إلزامي في أي مرحلة — كانت خطرًا معترفًا به للمؤسسات منذ عقد. استخدام NoVoice لـ 22 ثغرة من 2016–2021 ليس مؤشرًا على إبداع المهاجمين؛ إنه مؤشر على براغماتيتهم.
توصي إرشادات أمان الأجهزة المحمولة الصادرة عن SANS Institute بحد أقصى 90 يومًا لتأخر التصحيح في الصناعات المنظمة و30 يومًا للأجهزة التي تصل إلى البيانات الحساسة. يُوثّق إطار MITRE ATT&CK للهاتف المحمول التقنيات التي يستخدمها NoVoice — T1406 و T1624 و T1625 — مُقدِّمًا أساسًا منظمًا لتطوير قواعد الكشف.
الأسئلة الشائعة
إذا أجريت إعادة ضبط مصنع على هاتفي Android بعد إصابته بـ NoVoice، هل أنا في مأمن؟
ليس بالضرورة. على الأجهزة حيث حققت سلسلة استغلال NoVoice استبدالًا عميقًا لمكتبات النظام، قد لا تُزيل إعادة ضبط المصنع القياسية المكتبات الخبيثة المدمجة في قسم النظام. مطلوب إعادة تثبيت كاملة لنظام التشغيل باستخدام صورة الفلاشة الرسمية من الشركة المصنّعة لضمان نظافة الجهاز.
هل يؤثر NoVoice في أجهزة iPhone أم فقط في Android؟
NoVoice يستغل ثغرات النواة الخاصة بـ Android — لا يؤثر في iOS. نموذج تحديث iOS الخاص بـ Apple الذي يُسلّم تصحيحات نظام التشغيل مباشرةً لجميع الأجهزة المدعومة دون وسيط من مشغلي الشبكة، يُزيل فعليًا فئة ثغرات تجزئة التصحيح التي يستغلها NoVoice.
كيف يمكنني معرفة ما إذا كان أحد الأجهزة مصابًا بالفعل؟
على جهاز استبدل فيه NoVoice مكتبات النظام، الكشف على الجهاز غير موثوق لأن البرنامج الخبيث يتحكم في واجهات برمجة التطبيقات على مستوى نظام التشغيل. المؤشرات التي قد تظهر على مستوى الشبكة تشمل: استعلامات DNS غير معتادة إلى نطاقات مسجّلة حديثًا، وحركة مشفرة صادرة على منافذ غير معيارية خلال ساعات غير عادية، واستنزاف البطارية بدون نشاط مستخدم.
—
