ستشهد ست عائلات جديدة من برامج أندرويد الخبيثة تستهدف المعاملات المالية
كشف باحثون في الأمن السيبراني عن ست عائلات متميزة من برامج أندرويد الخبيثة مصممة لسرقة البيانات الحساسة من الأجهزة المصابة وتنفيذ عمليات احتيال مالي متطورة. يؤكد هذا الاكتشاف تصعيداً خطيراً في تهديدات الأجهزة المحمولة، حيث انتقلت من مجرد سرقة بيانات إلى اختطاف المعاملات المالية في الزمن الحقيقي. تشمل هذه العائلات أحصنة طروادة المصرفية التقليدية مثل "بيكس ريفولوشن" و"تاكسي سباي رات" و"بيت بانكر" و"ميراكس" و"أوبليفيون رات"، إلى جانب أدوات التحكم عن بُعد الأكثر تطوراً مثل "سوركس رات". تستهدف هذه التهديدات مجتمعة مجموعة واسعة من القطاعات المالية، بما في ذلك منصات الدفع الفوري الوطنية والتطبيقات المصرفية التقليدية ومحافظ العملات الرقمية، مما يشكل خطراً جسيماً على الأمن المالي للمستخدمين.
تتميز سلالة مقلقة بشكل خاص، أُطلق عليها اسم "بيكس ريفولوشن"، بأنها مصممة لاستهداف منصة "بيكس" للدفع الفوري التي تُستخدم على نطاق واسع في البرازيل. وفقاً لتحليل شركة "زيمبيريوم" للأمن المحمول، يعمل هذا البرنامج الخبيث بدرجة عالية من التخفي، حيث يظل خاملاً حتى يبدأ الضحية تحويلاً عبر "بيكس". في تلك اللحظة الحاسمة، ينشط للعمل. وأوضح الباحث الأمني "عاظم ياسوانت" النموذج التشغيلي الجديد للبرنامج الخبيث، قائلاً: "ما يميز هذا التهديد عن أحصنة طروادة المصرفية التقليدية هو تصميمه الأساسي: حيث يوجد مشغل بشري أو ذكي اصطناعي مشارك بنشاط في الطرف البعيد، يراقب شاشة هاتف الضحية لحظياً، مستعداً للتحرك في اللحظة الدقيقة للمعاملة". تتيح هذه المقاربة، التي تتضمن تدخلاً بشرياً في الحلقة، للمهاجمين اعتراض وتحويل المدفوعات ديناميكياً إلى حسابات يسيطرون عليها.
تبدأ سلسلة العدوى لهذه العائلات الخبيثة عادةً بهندسة اجتماعية. ينشئ جهات التهديد قوائم مزيفة على متجر "جوجل بلاي" الرسمي، بانتحال هوية تطبيقات شرعية من جهات موثوقة مثل "إكسبيديا" و"سيكريدي" و"كوريوس". ينخدع المستخدمون المطمئنون الذين يقومون بتنزيل هذه التطبيقات ويقومون بتركيب ملفات "إيه بي كي" ضارة. بمجرد التثبيت، تدفع التطبيقات المستخدمين بقوة لتمكين "خدمات إمكانية الوصول" في نظام أندرويد، وهي صلاحية حاسمة تمنح البرنامج الخبيث سيطرة واسعة على واجهة الجهاز ووظائفه. للحفاظ على الاستمرارية والتواصل، ينشئ البرنامج الخبيث اتصالاً بخادم تحكم وأمر عبر منفذ "تي سي بي" رقم ٩٠٠٠، مرسلاً رسائل نبض منتظمة تحتوي على بيانات وصفية للجهاز، ومفعلاً قدرات التقاط الشاشة في الزمن الحقيقي عبر واجهة برمجة تطبيقات "ميديا بروجكشن" في أندرويد.
تتمحور القدرات الخبيثة الأساسية حول المراقبة والتحكم. تمكن صلاحيات إمكانية الوصول البرمجيات الضارة من تنفيذ نقرات على الشاشة، وملء الحقول تلقائياً، وحتى تعطيل تطبيقات الأمان. تسمح خاصية التقاط الشاشة للمهاجمين برؤية كل إجراء يقوم به المستخدم، بما في ذلك إدخال كلمات المرور ورموز التحقق. تهدف هذه الهجمات المتزامنة إلى تجاوز آليات المصادقة متعددة العوامل، مما يجعلها فعالة بشكل خاص ضد حسابات العملات الرقمية والتطبيقات المصرفية ذات الحماية العالية.
تدق هذه الموجة الجديدة من التهديدات ناقوس الخطر لمستخدمي الهواتف الذكية في جميع أنحاء العالم. يؤكد الانتشار المتزامن لعدة عائلات خبيثة على التطور السريع للمشهد الإلكتروني المعادي. يجب على المستخدمين توخي الحذر الشديد، وتجنب تنزيل التطبيقات من مصادر غير موثوقة، وفحص أذونات التطبيقات بعناية، وخاصة تلك التي تطلب صلاحيات إمكانية الوصول دون سبب واضح. كما يُنصح باستخدام حلول أمنية موثوقة للأجهزة المحمولة والحفاظ على تحديث أنظمة التشغيل والتطبيقات باستمرار لسد الثغرات الأمنية المعروفة.
