أعلنت شركة الأمن السيبراني QiAnXin أن ثغرة أمنية معروفة باسم ZipperDown – والتي جرى إصلاحها مؤخرًا – قد استُغلت في هجمات فعلية من قبل جهات مدعومة من دول، ضمن حملة أُطلق عليها اسم Operation South Star. الهجوم يبدأ عبر رسالة بريد إلكتروني خبيثة تصل إلى تطبيق البريد على الهاتف المستهدف. وبمجرد أن ينقر الضحية على الرسالة، يتم تفعيل الثغرة فورًا، حيث يقوم الملف DAT المصمم بعناية بفك محتوياته وإطلاق ملفات SO وAPK خبيثة تعمل على استبدال مكونات التطبيق الشرعي.
آلية الهجوم التقنية
اعتمد المهاجمون على ثغرة منطقية في معالجة الصور IMG داخل نسخة معينة من تطبيق بريد إلكتروني على نظام أندرويد. من خلال بناء ملف DAT يتوافق مع صيغة المعالجة، تمكنوا من تشغيل ZipperDown واستبدال مكتبات التطبيق المرتبطة. المكون الخبيث الناتج مصمم لإنشاء اتصال Shell وتنفيذ أوامر إضافية في مرحلة ثانية. وقد رُصدت حالات في عامي 2024 و2025 حيث استُخدم ملف SO المعدل ليعمل كأداة تنزيل لملف APK جديد، يتم تحميله وتشغيله على الجهاز.
قدرات البرمجية الخبيثة
بعد التثبيت، يتصل البرنامج الضار بخادم تحكم (C2 Server) بشكل دوري للحصول على أوامر جديدة وتنفيذها. هذه الأوامر تشمل:
- جمع معلومات عن الجهاز والملفات.
- قراءة محتويات الملفات.
- تشغيل Reverse Shell يمنح المهاجم سيطرة مباشرة على الجهاز المصاب.
دلالات أمنية
الهجوم يوضح كيف يمكن لثغرة منطقية في تطبيق شائع أن تتحول إلى نقطة دخول خطيرة بيد جهات مدعومة من دول، مع استغلال تقنيات متقدمة مثل تحميل مكونات إضافية عبر ملفات SO وAPK. ورغم أن الثغرة قد تم إصلاحها، إلا أن استغلالها في حملات حديثة يؤكد ضرورة تحديث التطبيقات بشكل دوري ومراقبة أي نشاط غير اعتيادي على الأجهزة المحمولة.
