كشف باحثون في الأمن السيبراني عن عائلتين من تروجان أندرويد تُعرَفان باسم BankBot-YNRK وDeliveryRAT، قادرتين على حصاد بيانات حسّاسة من الأجهزة المخترقة واستهداف المستخدمين بطرق هندسية اجتماعية متطورة.
ملخص آليات التشغيل وأساليب التمويه
حلّلت شركة CYFIRMA ثلاث عينات من BankBot-YNRK وبيّنت أن البرمجية الخبيثة تجرى فحوصات أولية لتجنّب التحليل داخل بيئات افتراضية أو محاكاة، وتستخرج معلومات عن الجهاز مثل الشركة المصنِّعة واسم الطراز للتحقق من تنفيذها على جهاز حقيقي. كما تتحقق من ما إذا كان الجهاز من إنتاج Oppo أو يعمل بنسخة ColorOS، وتحتوي على قائمة نماذج مستهدفة (بما في ذلك أجهزة Google Pixel وSamsung) لتفعيل وظائف خاصة فقط على الأجهزة المعروفة. حزم APK الثلاث الموزِّعة للبرمجية استُخدمت تحت اسم موحَّد “IdentitasKependudukanDigital.apk” لادعاء انتماء لجهاز حكومي إندونيسي، مع أسماء حزم:
com.westpacb4a.payqingynrk1b4a
com.westpacf78.payqingynrk1f78
com.westpac91a.payqingynrk191a
قدرات السرقة والاستمرارية وسوء استخدام خدمات الوصول
بعد التثبيت تجمع التطبيقات معلومات النظام وتُعدّل مستويات الصوت (الموسيقى، النغمات، الإشعارات) إلى الصفر لمنع تنبيه الضحية بالمكالمات أو الرسائل. تتواصل البرمجيات مع خادم بعيد (“ping.ynrkone[.]top”) وتنتظر أمر “OPEN_ACCESSIBILITY” لحث المستخدم على تفعيل خدمات الوصول (accessibility) التي تمنحها صلاحيات مرتفعة لأداء إجراءات خبيثة. يستغل BankBot-YNRK خدمة JobScheduler لتحقيق الاستمرارية بعد إعادة التشغيل ويدعم أوامر واسعة تشمل: الحصول على صلاحيات مدراء الجهاز، إدارة التطبيقات، التفاعل مع الجهاز، تحويل المكالمات باستخدام رموز MMI، التقاط الصور، عمليات ملفات، وجمع جهات الاتصال، الرسائل القصيرة، المواقع، قائمة التطبيقات المثبتة، ومحتوى الحافظة. من ميزاته التمويهية: استبدال اسم وأيقونة التطبيق برمجيًا ليبدو كـ Google News، التقاط محتوى الشاشة لإعادة بناء “هيكل واجهة” لتطبيقات البنوك لسرقة بيانات الاعتماد، وإساءة استخدام خدمات الوصول لفتح تطبيقات محافظ العملات المشفرة وتنفيذ تفاعلات واجهة مستخدم آلية لسرقة بيانات أو تحريك معاملات غير مصرح بها. يضمّ أيضًا قائمة مكوّنة من 62 تطبيقًا ماليًا مستهدفة، ويعرض رسائل تراكب (overlay) لإيهام المستخدم بعمليات تحقق وهو يجري طلب صلاحيات إضافية وإضافة نفسه كتطبيق مدير للجهاز.
DeliveryRAT ونموذج البرمجيات كخدمة (MaaS)
أفادت شركة F6 بأن متصرّفين يوزعون إصدارًا محدثًا من DeliveryRAT يستهدف مستخدمي أندرويد في روسيا متخفّياً كخدمات توصيل، أسواق، بنوك، وتطبيقات تتبّع طرود، ونشط منذ منتصف 2024. تُسوّق البرمجية عبر نموذج MaaS من خلال بوت تيليجرام باسم Bonvi Team، ما يتيح للمشترين الحصول على ملف APK أو روابط صفحات تصيّد. يتواصل المهاجمون عبر تطبيقات المراسلة (مثل Telegram) لخداع الضحايا بتحميل التطبيق المزيف بحجج تتعلّق بتتبّع طلب أو فرصة عمل عن بُعد. تطلب التطبيقات الإذن بالوصول إلى الإشعارات وإعدادات تحسين البطارية لتجميع بيانات حسّاسة والعمل في الخلفية دون الإنهاء، وقد تجمع رسائل SMS وسجلات المكالمات وتخفي أيقونتها عن المشغّل (launcher) لعرقلة الاكتشاف والإزالة. بعض نسخ DeliveryRAT مجهّزة لتنفيذ هجمات حجب خدمة (DDoS) عن طريق إرسال طلبات متزامنة إلى روابط يُمدّها الخادم الخارجي أو حث المستخدم على مسح رمز QR مخادع.
السياق الأوسع: إساءة استخدام NFC والتهديد المتعدّد القنوات
تزامن الكشف مع تقرير Zimperium الذي عثر منذ أبريل 2024 على أكثر من 760 تطبيقًا أندرويد تستغل NFC لسرقة بيانات الدفع عبر استغلال Host-based Card Emulation (HCE)، حيث تنتحل هذه التطبيقات صفة تطبيقات مالية وتطلب تعيينها كطريقة دفع افتراضية ثم تُرسِل بيانات البطاقات اللاسلكية إلى قنوات خارجية (قنوات تيليجرام أو تطبيقات “tapper”) لاستخدامها في سحوبات أو مشتريات عند نقاط البيع بسرعة. استُهدف نحو 20 مؤسسة مزيفة، غالبًا بنوك روسية وخدمات مالية، بالإضافة إلى أهداف في البرازيل وبولندا وجمهورية التشيك وسلوفاكيا، مما يؤشر إلى بيئة تهديد متناظرة ومتعدّدة القنوات تستهدف الأموال والبنى التحتية المالية على الأجهزة المحمولة.
