الأمن السيبراني

Mirax Android RAT: قد يكون هاتفك بروكسي

15 أبريل 20265 دقيقة قراءة

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

برنامج خبيث جديد لنظام Android يستخدم هاتفك كبروكسي

كشف باحثو الأمن السيبراني عن تهديد جديد متطور يُعرف بـ Mirax Android RAT، وهو حصان طروادة للوصول عن بُعد وصل بصمت إلى أكثر من 220,000 مستخدم عبر إعلانات تُعرض على منصات Meta بما فيها فيسبوك وإنستغرام. ما يجعل Mirax لافتًا للنظر بشكل خاص ليس فقط نطاقه الواسع، بل ما يفعله بعد تثبيته: إذ يحوّل أجهزة Android المصابة إلى عقد في شبكة بروكسي SOCKS5، ليجعل من الهواتف الذكية العادية أدوات تُمرر حركة المرور الإجرامية على الإنترنت.

إذا كنت قد نقرت يومًا على إعلان من هاتفك وطُلب منك تثبيت تطبيق من خارج متجر Google Play الرسمي، فإن هذا التهديد يعنيك مباشرة.

ما هي شبكة بوت نت SOCKS5 البروكسي ولماذا يبنيها المجرمون؟

لفهم سبب خطورة Mirax، من المفيد فهم ماهية بروكسيات SOCKS5 وسبب قيمتها لمجرمي الإنترنت.

بروكسي SOCKS5 هو نوع من وسطاء الإنترنت الذي يُمرر حركة الشبكة عبر جهاز وسيط. ثمة استخدامات مشروعة له: تستخدم الشركات البروكسيات لإدارة الشبكة، وأحيانًا يُمرر المستخدمون الحريصون على خصوصيتهم حركة بياناتهم عبر خوادم موثوقة لإخفاء عناوين IP الخاصة بهم. يتميز SOCKS5 بالمرونة والسرعة، مما يجعله جذابًا للأغراض المشروعة وغير المشروعة على حد سواء.

غير أن المجرمين يُقدّرون شبكات البروكسي لسبب محدد: إخفاء الهوية. فحين يُمرر المهاجمون نشاطهم عبر آلاف الهواتف الذكية المخترقة، يغدو تحديد موقعهم الحقيقي وهويتهم أمرًا شبه مستحيل. يعمل كل جهاز مصاب كحلقة وصل. فعند تتبع أثر هجوم إلكتروني، قد ينتهي المحققون بالإشارة إلى هاتف شخص بريء في بلد آخر بدلًا من المهاجم الحقيقي.

هذا أيضًا هو السبب في القيمة التجارية لشبكات البروكسي القائمة على بوت نت في الأسواق الجنائية. إذ يمكن للمشغلين تأجير الوصول إلى هذه الشبكات، مما يوفر لجهات خبيثة أخرى مجموعة موزعة ومتجددة باستمرار من عناوين IP السكنية التي تبدو أكثر شرعية بكثير من خوادم مراكز البيانات التي تُشير إليها أنظمة الأمان عادةً.

يبدو أن Mirax RAT مصمم لبناء هذا النوع من البنية التحتية بالضبط، مع سرقة البيانات الشخصية من الأجهزة المصابة في الوقت ذاته.

كيف ينتشر Mirax عبر إعلانات Meta

آلية التوصيل التي يعتمدها Mirax تستحق الدراسة المتأنية لأنها تستغل شيئًا اعتاد عليه معظم المستخدمين: إعلانات وسائل التواصل الاجتماعي.

وجد الباحثون أن Mirax وصل إلى أكثر من 220,000 ضحية عبر إعلانات خبيثة تعمل على منصات Meta. على الأرجح وجّهت هذه الإعلانات المستخدمين لتنزيل تطبيقات من خارج المتاجر الرسمية، وهي تقنية تُعرف بالتحميل الجانبي. تتيح بنية Android المفتوحة للمستخدمين تثبيت التطبيقات من مصادر خارجية، وهي ميزة يستغلها موزعو البرمجيات الخبيثة باستمرار.

يعكس اللجوء إلى الإعلانات المدفوعة لتوزيع البرمجيات الخبيثة تحولًا أشمل في طريقة عمل مجرمي الإنترنت. فبدلًا من الاعتماد على رسائل التصيد الاحتيالي أو المواقع المخترقة وحدها، بات الجهات التهديدية تستثمر في البنية التحتية للإعلانات المشروعة للوصول إلى جماهير واسعة بسرعة وبطريقة مقنعة. يمكن أن يبدو الإعلان المصمم جيدًا موثوقًا، لا سيما حين يظهر جنبًا إلى جنب مع محتوى الأصدقاء والعائلة.

تمتلك Meta أنظمة للكشف عن الإعلانات الخبيثة وإزالتها، لكن حجم منصتها الإعلانية يعني حتمًا أن بعض الحملات تفلت قبل اكتشافها.

ماذا يعني هذا بالنسبة لك

إذا كنت تستخدم جهاز Android وتتفاعل بانتظام مع إعلانات وسائل التواصل الاجتماعي، فإن حملة Mirax تُذكّرك مباشرة بعدة مخاطر عملية.

أولًا، قد يتعرض جهازك للاختراق دون علمك ويُستخدم لتسهيل نشاط إجرامي. فالانتماء إلى شبكة بوت نت لا يُسبب بالضرورة أعراضًا واضحة. قد يعمل هاتفك بحرارة أعلى قليلًا أو تستنزف بطاريته بشكل أسرع، لكن كثيرًا من المستخدمين لن يلاحظوا ذلك أو سيعزونه إلى سبب آخر.

ثانيًا، الأهداف التي تخدمها شبكات البروكسي الجنائية، وتحديدًا إخفاء حركة المرور وإخفاء الهوية على الإنترنت، هي الأهداف ذاتها التي يسعى إليها المستخدمون بشكل مشروع عبر الشبكات الافتراضية الخاصة وأدوات الخصوصية. الفارق الجوهري هو الموافقة والأمان. فالشبكة الافتراضية الخاصة المشروعة تُمرر حركة بياناتك الخاصة عبر خادم موثوق ومشفر اخترته بنفسك. أما شبكة البوت نت فتُمرر حركة مرور جنائية لشخص آخر عبر جهازك دون علمك، مما يُعرّضك لتدقيق قانوني محتمل ويستهلك عرض النطاق الترددي وبياناتك.

ثالثًا، مصادفة إعلانات للتطبيقات على منصات التواصل الاجتماعي لا يعني أن تلك التطبيقات آمنة. مصدر الإعلان لا يضمن شرعية ما يُعلَن عنه.

خطوات عملية لحماية جهاز Android الخاص بك

لا تتطلب حماية نفسك من تهديدات كـ Mirax خبرة تقنية، لكنها تستلزم عادات ثابتة ومستمرة.

ثبّت التطبيقات من متجر Google Play فحسب. تجنب التحميل الجانبي للتطبيقات التي تُروّج لها الإعلانات أو الروابط في الرسائل أو مواقع الطرف الثالث، بصرف النظر عن مدى شرعية مظهرها.
راجع أذونات التطبيقات بعناية. تطبيق المصباح لا يحتاج إلى الوصول إلى جهات اتصالك أو القدرة على تشغيل خدمات شبكة في الخلفية. الأذونات المفرطة علامة تحذيرية.
حافظ على تحديث نظام التشغيل والتطبيقات. تُغلق تصحيحات الأمان الثغرات التي تستغلها البرمجيات الخبيثة.
استخدم برامج أمان موثوقة للجوال. يمكن لعدد من تطبيقات الأمان المعتمدة الكشف عن عائلات البرمجيات الخبيثة المعروفة والإشارة إلى السلوك المشبوه.
كن متشككًا في إعلانات الجوال التي تُروّج لتنزيل التطبيقات. إذا كان الإعلان يدفعك نحو التثبيت، فتحقق من التطبيق عبر القنوات الرسمية قبل المتابعة.
راقب استهلاك بياناتك. الارتفاعات غير المبررة في استهلاك بيانات الخلفية قد تشير إلى استخدام جهازك لأغراض لم تأذن بها.

يُعد Mirax Android RAT مثالًا واضحًا على نضج العمليات الجنائية لاستغلال العادات الرقمية اليومية على نطاق واسع. فهم كيفية عمل هذه الهجمات هو الخطوة الأولى نحو اتخاذ قرارات تُبقي جهازك وبياناتك واتصالك بالإنترنت ملكًا حقيقيًا لك.

// الأسئلة الشائعة

ما هو Mirax Android RAT؟

Mirax هو حصان طروادة للوصول عن بُعد يستهدف أجهزة Android ويحوّل الهواتف الذكية المصابة إلى عقد في شبكة بروكسي SOCKS5. وقد وصل إلى أكثر من 220,000 مستخدم عبر إعلانات خبيثة على منصات Meta بما فيها فيسبوك وإنستغرام.

كيف ينتشر Mirax إلى الضحايا؟

ينتشر Mirax عبر إعلانات خبيثة تعمل على منصات Meta توجّه المستخدمين لتنزيل تطبيقات من خارج متجر Google Play الرسمي، وهي تقنية تُعرف بالتحميل الجانبي. تتيح بنية Android المفتوحة هذا النوع من تثبيت التطبيقات من طرف ثالث، وهو ما يستغله موزعو البرمجيات الخبيثة.

ماذا يفعل Mirax بعد إصابة الجهاز؟

بعد التثبيت، يحوّل Mirax جهاز Android المصاب إلى عقدة في شبكة بروكسي SOCKS5، مُمرِّرًا حركة المرور الإجرامية على الإنترنت عبر هاتف الضحية. كما يسرق البيانات الشخصية من الأجهزة المصابة.

لماذا يرغب المجرمون في بناء شبكات بروكسي كالتي يُنشئها Mirax؟

يستخدم المجرمون شبكات البروكسي للبقاء مجهولي الهوية، إذ يجعل تمرير النشاط عبر آلاف الهواتف الذكية المخترقة موقعهم الحقيقي شبه مستحيل التتبع. كما يمكنهم تأجير الوصول إلى هذه الشبكات، مما يوفر لجهات خبيثة أخرى مجموعة من عناوين IP السكنية التي تبدو مشروعة لأنظمة الأمان.

من هم المعرضون للخطر من Mirax Android RAT؟

كل من يستخدم جهاز Android ونقر على إعلان من هاتفه طلب منه تثبيت تطبيق من خارج متجر Google Play الرسمي يكون عرضة للخطر المحتمل. تستهدف البرمجية الخبيثة تحديدًا المستخدمين الذين يُحمّلون التطبيقات جانبيًا من مصادر خارجية.