اكتشف باحثو الأمن السيبراني أربع عائلات نشطة من برامج安卓 الضارة التي تستهدف أكثر من 800 تطبيق، بما في ذلك محافظ العملات الرقمية والتطبيقات البنكية. تستخدم هذه البرامج الضارة طرقًا لا تستطيع معظم أدوات الأمن التقليدية اكتشافها.
أصدر فريق zLabs من شركة Zimperium نتائج تتبع أحصنة طروادة المعروفة باسم RecruitRat وSaferRat وAstrinox وMassiv. وفقًا لبحث الشركة، لكل عائلة شبكة تحكم خاصة بها تستخدمها لسرقة معلومات تسجيل الدخول، والسيطرة على المعاملات المالية، والحصول على بيانات المستخدم من الأجهزة المصابة.
تهديدات جديدة لتطبيقات العملات الرقمية والبنوك
تمثل عائلات البرامج الضارة تهديدًا مباشرًا لأي شخص يدير العملات الرقمية على أندرويد. بمجرد تثبيتها، تستطيع أحصنة طروادة وضع شاشات تسجيل دخول مزيفة فوق التطبيقات الحقيقية للعملات الرقمية والبنوك، لسرقة كلمات المرور والمعلومات الخاصة الأخرى في الوقت الفعلي. ثم تضع البرامج الضارة صفحة HTML مزيفة فوق واجهة التطبيق الحقيقية، مما يخلق ما أسمته الشركة “واجهة خادعة مقنعة للغاية”.
وفقًا للتقرير، تستطيع أحصنة طروادة فعل أكثر من مجرد سرقة بيانات الدخول. يمكنها أيضًا التقاط رموز المرور لمرة واحدة، وبث شاشة الجهاز للمهاجمين، وإخفاء أيقونات تطبيقاتها الخاصة، ومنع المستخدمين من إلغاء تثبيتها.
كيف تنصب الفخاخ للمستخدمين؟
تستخدم كل حملة طُعمًا مختلفًا لجذب الضحايا. انتشر SaferRat عبر مواقع وهمية تقدم وصولًا مجانيًا لخدمات البث المميزة. أخفى RecruitRat محتواه الضار ضمن عملية تقديم وظائف، بإرسال الضحايا لمواقع تصيد تطلب منهم تحميل ملف APK ضار.
استخدم Astrinox نفس طريقة التوظيف، مستخدمًا النطاق xhire[.]cc. ويظهر محتوى مختلفًا حسب الجهاز المستخدم لزيارة الموقع. طُلب من مستخدمي أندرويد تحميل APK، بينما رأى مستخدمو iOS صفحة تشبه متجر تطبيقات آبل. لكن الباحثين لم يجدوا دليلًا على اختراق iOS فعلًا.
لم يتم تأكيد طريقة توزيع Massiv خلال فترة البحث. استخدمت أحصنة طروادة الأربعة بنية تصيد، ورسائل نصية احتيالية، وهندسة اجتماعية تستغل حاجة الأشخاص للتصرف بسرعة أو فضولهم لدفعهم لتثبيت تطبيقات ضارة.
برامج ضارة تتفادى الاكتشاف
تهدف الحملات لتجاوز أدوات الأمن. وجد الباحثون أن عائلات البرامج الضارة تستخدم تقنيات متقدمة لمكافحة التحليل والتلاعب بهيكل حزم تطبيقات أندرويد (APKs) للحفاظ على ما أسمته الشركة “معدلات اكتشاف تكاد تكون صفرية ضد آليات الأمن التقليدية القائمة على التوقيعات”.
يمتزج الاتصال الشبكي مع حركة المرور العادية. تستخدم أحصنة طروادة اتصالات HTTPS وWebSocket للتواصل مع خوادم التحكم. بعض النسخ تضيف طبقات تشفير إضافية فوق هذه الاتصالات.
أمر مهم آخر هو الاستمرارية. لم تعد أحصنة طروادة البنكية الحديثة لأندرويد تستخدم عمليات تثبيت بسيطة بمرحلة واحدة. بدلًا من ذلك، تستخدم عمليات تثبيت متعددة المراحل مصممة لتجاوز نموذج الأذونات المتغير في أندرويد، الذي جعل من الصعب على التطبيقات فعل أشياء دون إذن صريح من المستخدم.
لم يحدد التقرير محافظًا أو منصات تداول معينة ضمن أكثر من 800 تطبيق مستهدف. لكن بسبب هجمات التراكب، واعتراض رموز المرور، وبث الشاشة، أي تطبيق عملات رقمية على أندرويد قد يكون في خطر إذا قام المستخدم بتثبيت APK ضار من خارج متجر Google Play.
تحميل التطبيقات من روابط في رسائل نصية، أو إعلانات وظائف، أو مواقع ترويجية لا يزال من أكثر الطرق المؤكدة لدخول البرامج الضارة إلى الهاتف الذكي.
يجب على من يديرون العملات الرقمية على أجهزة أندرويد استخدام متاجر التطبيقات الرسمية فقط، والحذر من الرسائل المنبثقة التي تطلب تحميل شيء ما.
الأسئلة الشائعة
- س: كيف تحمي نفسك من هذه البرامج الضارة على أندرويد؟
ج: استخدم فقط متجر Google Play الرسمي لتحميل التطبيقات، ولا تفتح روابط تحميل من رسائل نصية أو إعلانات مشبوهة، واحذر من أي نافذة تطلب تحميل تطبيق بشكل مفاجئ. - س: هل تؤثر هذه البرامج الضارة على أجهزة آيفون؟
ج: وفقًا للبحث، لم يتم العثور على دليل على اختراق أجهزة iOS. لكن مستخدمي آيفون رأوا صفحات وهمية تشبه متجر آبل، لذا يجب الحذر أيضًا. - س: ما هو أخطر شيء تفعله هذه البرامج الضارة؟
ج: الأكثر خطورة هو قدرتها على وضع شاشات تسجيل دخول مزيفة فوق التطبيقات الحقيقية لسرقة كلمات المرور والرموز السرية فور إدخالها، مما يهدد أموالك في العملات الرقمية وحساباتك البنكية.
