أعلنت شركة CYFIRMA عن رصد برمجية خبيثة جديدة تحمل اسم KYCShadow، تنتحل صفة تطبيق للتحقق من الهوية البنكية (KYC) وتُوزع عبر تطبيق WhatsApp، مستهدفة بشكل أساسي المستخدمين في الهند.
آلية عمل KYCShadow
البرمجية تعمل كـ multi-stage dropper، أي أنها تمر بمراحل متعددة تبدأ بتثبيت حمولة ثانوية على الجهاز، ثم تنشئ قناة اتصال مستمرة مع خوادم التحكم (C2) لضمان السيطرة الكاملة على الجهاز المصاب.
من أبرز تقنياتها:
- إخفاء الشيفرة الأصلية (Native Code Obfuscation) لتجنب التحليل والكشف.
- تنفيذ أوامر عن بُعد عبر Firebase، ما يمنح المهاجمين مرونة في التحكم.
- التلاعب بحركة المرور باستخدام VPN لإخفاء الأنشطة الخبيثة.
- هجمات تصيّد عبر WebView لسرقة بيانات حساسة من المستخدمين.
أهداف الهجوم
الهدف الأساسي للبرمجية هو جمع بيانات حساسة، بما في ذلك بيانات الاعتماد البنكية والرموز المؤقتة (OTPs) المستخدمة في المصادقة الثنائية. هذا يجعلها تهديدًا مباشرًا للمستخدمين الذين يعتمدون على تطبيقات الهواتف الذكية لإدارة حساباتهم البنكية أو إجراء معاملات مالية.
دلالات أمنية
هذا النوع من الهجمات يعكس تطورًا في أساليب المهاجمين، حيث يتم استغلال قنوات التواصل الشائعة مثل WhatsApp لنشر تطبيقات تبدو شرعية، لكنها في الواقع أدوات تجسس متقدمة. كما أن استخدام تقنيات مثل Firebase وVPN يوضح أن المهاجمين يسعون لتجاوز أنظمة الحماية التقليدية، مع التركيز على سرقة بيانات مالية بالغة الحساسية.
