كشف باحثون في الأمن السيبراني عن عائلة تروجان أندرويد جديدة أُطلق عليها اسم Herodotus، تُستخدم في حملات نشطة تستهدف إجراء عمليات استحواذ على الأجهزة (Device Takeover — DTO) في إيطاليا والبرازيل، وقد لوحظت مؤشرات امتدادها نحو أهداف في الولايات المتحدة ودول أوروبية أخرى.
ظهور تجاري ونموذج تقديم كخدمة
أعلنت شركة ThreatFabric في تقريرٍ مُشارك مع وسائل الإعلام أن Herodotus ظهر لأول مرة في أسواق الجريمة الإلكترونية على هيئة Malware-as-a-Service (MaaS) بتاريخ 7 سبتمبر 2025، مُروَّجًا بقدرته على العمل على أجهزة تعمل بنسخ أندرويد من 9 حتى 16.
لا يُعَدّ هذا التروجان بالضرورة تطورًا مباشرًا لعائلة Brokewell المعروفة، لكن الباحثين رصدوا استخدامًا لتقنيات تشفير وإخفاء تشابهت مع Brokewell، بل وذكرًا صريحًا لعناصر من هذه العائلة داخل شيفرة Herodotus (مثال: تسميات مثل “BRKWL_JAVA”)، ما يشير إلى اعتمادات أو إعادة استخدام أجزاء برمجية في بناء السلالة الجديدة.
أساليب العدوى وإساءة استخدام خدمات الوصول المساعدة
تنتشر حملة Herodotus عبر تطبيقات قُطّاع (droppers) تنتحل غالبًا اسم ومتجر Google Chrome (حزمة الحزمة com.cd3.app) وتُوزع عبر رسائل احتيال قصيرة (SMS phishing) وحيل هندسة اجتماعية أخرى.
البرنامج الخبيث يستغل خدمات إمكانية الوصول (Accessibility Services) في أندرويد للتفاعل مع الشاشة، وعرض طبقات تراكب (opaque overlay) تُغطي النشاط الخبيث وتُظهِر شاشات تسجيل مزيفة فوق تطبيقات مالية حقيقية لسرقة بيانات الدخول.
بفضل صلاحيات الوصول التي يمنحها المستخدم عن غير وعي، يستطيع Herodotus: سرقة رموز المصادقة الثنائية المرسلة عبر SMS، اعتراض كل ما يعرضه الجهاز على الشاشة، منح نفسه أذونات إضافية حسب الحاجة، استخراج رمز القفل (PIN) أو نمط الشاشة، وتحميل وتثبيت حزم APK عن بُعد.
التمويه بالسلوك البشري كآلية لتجاوز أنظمة مضادة للاحتيال
ما يميز Herodotus عن كثير من تهديدات الأجهزة المحمولة هو محاولته «تأميم» سلوك الاحتيال ليبدو بشريًا. يتضمن التروجان خيارًا لإدخال تأخيرات عشوائية عند تنفيذ الأفعال عن بُعد — مثل الكتابة على الشاشة — بهدف محاكاة زمن استجابة الإنسان وتخطي أنظمة الكشف التي تعتمد على توقيت إدخال النصوص وسرعة التفاعل لاكتشاف سلوك الآلات.
تحدد هذه التأخيرات — بحسب ThreatFabric — نطاقًا يتراوح بين 300 و3000 ملي ثانية (0.3–3 ثوانٍ) بين أحداث إدخال النص، وهو نطاق يتوافق عمومًا مع أنماط الكتابة البشرية. هذه العشوائية الزمنية تقلل من احتمالات رصد العملية كـ«آلية» بواسطة حلول مكافحة الاحتيال القائمة على السلوك فقط.
نطاق الاستهداف والتوسع التكتيكي — وارتباطات بالتهديدات المعاصرة
تراجعت تحليلات ThreatFabric إلى صفحات تغطي شواهد تشير إلى استهداف مؤسسات مالية ومحافظ تشفير ومنصات تبادل عملات رقمية، مع نماذج تغليف (overlay) استخدمت لاستهداف كيانات في الولايات المتحدة وتركيا والمملكة المتحدة وبولندا، وهو ما يشي بمحاولات توسعٍ نشطة خارج بؤرتي إيطاليا والبرازيل.
كما أشار التقرير إلى أن Herodotus ما زال في طور التطوير النشط، مع استعارته تقنيات معروفة من Brokewell، ونيته البقاء متطفلاً داخل الجلسات الحية بدلاً من الاقتصار على سرقة بيانات ثابتة — بمعنى السعي للسيطرة المستمرة وتحويل الجلسة لصالح “الاستحواذ على الحساب”.
تذكُّر أطياف تهديدية موازية: في سياق ذي صلة، وثّقت شركة CYFIRMA برمجية أندرويد متقدمة أخرى باسم GhostGrab تمزج بين استخراج بيانات بنكية والقيام بتعدينٍ خفي لعملة Monero، ما يُظهر اتساعًا في نماذج العائد المالي للمهاجمين (مزيج سرقة بيانات + تعدين).
تقنيًا، يلعب منح إذن REQUEST_INSTALL_PACKAGESدورًا حاسمًا في قدرة هذه العائلات الخبيثة على تنزيل وتثبيت APKs داخليًا دون المرور عبر متجر Google Play. وتطالب الحمولة الأساسية بمجموعة أذونات عالية المخاطر لتمكين: تحويل المكالمات، اعتراض رسائل SMS، وعرض صفحات WebView مزيفة لالتقاط بيانات KYC مثل بيانات البطاقة، رمز الـPIN الرباعي، وأرقام تعريف وطنية.
ما الذي يعنيه ذلك للدفاع؟
-
ينبغي أن تعتبر فرق الأمن أن التهديدات الحديثة لم تعد تسرق بيانات ثابتة فحسب، بل تُصمَّم للبقاء داخل الجلسات الحية وتحويل الجلسة إلى «جلسة مخترق» كاملة.
-
مراقبة منح صلاحيات إمكانية الوصول وإجراءات تثبيت الحزم يجب أن تكون مدمجة بشكل صارم في سياسات أمن الأجهزة المحمولة (Mobile Device Management)؛ إذ إن السماح العفوي لهذه الأذونات يمكّن هجمات الاستحواذ على الجهاز بسهولة.
-
آليات الكشف التي تعتمد فقط على توقيت أو على خصائص سريعة للتعرف على السلوك الآلي قد تصبح غير كافية أمام تروجان قادر على محاكاة أنماط بشرية؛ لذا يجب إقرانها بإشارات سياقية أعمق، مثل تتبع مصدر الرسائل، تحليل سلاسل التثبيت، وفحص سلوك التراكب (overlay) على التطبيقات المالية.
-
إن وجود تهديدات ثنائية العائد (بيانات + تعدين) مثل GhostGrab يضع ضغطًا إضافيًا على فرق الاستجابة للحوادث؛ فالتحقيق يجب أن يأخذ في الحسبان كلا المسارين — سرقة بيانات حساسة واستخدام الموارد الحاسوبية للمهاجم.
خلاصات فنية سريعة حول الخصائص الأساسية لـ Herodotus
-
نمط التوزيع: تطبيقات قطّاع تنتحل تطبيقات شائعة + رسائل SMS تصيّدية.
-
سلوك خبيث: استغلال Accessibility، عرض طبقات تراكب زائفة، اعتراض SMS، سرقة PIN، تثبيت APK عن بُعد.
-
خاصية مميزة: عشوائية زمنية في إدخال النص (300–3000 ms) لمحاكاة المستخدم البشري وتفادي اكتشافات قائمة على توقيت الإدخال.
-
سوق الترويج: معروض كمزيدية خدمة (MaaS) منذ سبتمبر 2025، يدعم إصدارات Android 9–16.
-
أذونات خطرة: REQUEST_INSTALL_PACKAGES وحقوق الوصول إلى الإشعارات وقراءة الرسائل وكتابة الذاكرة المؤقتة.
