حملة جديدة لنشر برمجيات Android الضارة على أنها بوابة الحكومة الإلكترونية السورية، مما يشير إلى ترسانة مطورة مصممة لتعريض الضحايا للخطر.
يُقال إن البرنامج الضار الذي يتنكر في صورة تطبيق الحكومة الإلكترونية السورية لنظام Android ، قد تم إنشاؤه في مايو 2021، مع تعديل ملف بيان التطبيق ("AndroidManifest.xml") لطلب أذونات إضافية صريحة على الهاتف، بما في ذلك القدرة على قراءة جهات الاتصال، والكتابة إلى وحدة التخزين الخارجية، وإبقاء الجهاز نشطًا، والوصول إلى معلومات حول الشبكات الخلوية وشبكات Wi-Fi ، والموقع الجغرافي، وحتى السماح للتطبيق ببدء تشغيل نفسه بمجرد انتهاء النظام من التمهيد.
بالإضافة إلى ذلك، تم تصميم التطبيق الضار لأداء مهام طويلة الأمد في الخلفية وإطلاق طلب إلى خادم تحكم عن بعد (C2) والذي يستجيب مرة أخرى بحمولة مشفرة تحتوي على ملف إعدادات يسمح للبرنامج الضار بـتغيير سلوكه وفقًا للمحتوي "وتحديث عنوان خادم C2 الخاص به.
كما أنه يمتلك القدرة على نقل البيانات المخزنة على الجهاز المصاب، مثل جهات الاتصال ومستندات Word و Excel وملفات PDF والصور ومفاتيح الأمان والملفات المحفوظة يتم إخراجها جميعًا مرة أخرى إلى خادم C2.
