اندماج عمليات برمجيات خبيثة على أندرويد.. سرقة الرسائل و"ووندرلاند" يفتح الباب لعصر جديد من الاحتيال الرقمي » مركز الأمن السيبراني للأبحاث والدراسات CCRS

بوت نتتفاصيل جديدة حول حملة التجسس LANDFALL على أجهزة أندرويد "Kimwolf" يصيب أكثر من مليوني جهاز أندرويد عبر منافذ ADB المكشوفة وشبكات البروكسي السكنية — تفاصيل جديدة حول حملة التجسس LANDFALL على أجهزة أندرويد

شهدت أوزبكستان موجة جديدة من الهجمات السيبرانية تستهدف مستخدمي الهواتف العاملة بنظام أندرويد، حيث رصد خبراء الأمن السيبراني استخدام تطبيقات “دروبر” خبيثة تتخفى في صورة تطبيقات شرعية لتوزيع برمجية سرقة الرسائل القصيرة المعروفة باسم Wonderland. هذه البرمجية، التي كانت تُعرف سابقاً باسم WretchedCat، لا تكتفي بسرقة الرسائل بل تتيح للمهاجمين تنفيذ أوامر مباشرة عبر قنوات اتصال ثنائية الاتجاه، بما يشمل طلبات USSD وسرقة كلمات المرور لمرة واحدة (OTP).

البنية الإجرامية وراء الهجمات

يقف خلف هذه العمليات جماعة إجرامية تحمل اسم TrickyWonders، تعتمد على منصة تيليغرام كأداة رئيسية للتنسيق والتوزيع. منذ اكتشافها في نوفمبر 2023، ارتبطت البرمجية بعائلتين من الدروبر هما MidnightDat وRoundRift، واللتان تخفيان الحمولة المشفرة الأساسية. يتم نشر البرمجيات عبر صفحات مزيفة تحاكي متجر جوجل بلاي، وحملات إعلانية على فيسبوك، وحسابات وهمية على تطبيقات المواعدة، إضافة إلى استغلال جلسات تيليغرام المسروقة من المستخدمين وبيعها في أسواق الإنترنت المظلم.

قدرات متقدمة تتجاوز سرقة الرسائل

بمجرد تثبيت البرمجية، تحصل على صلاحيات واسعة تشمل اعتراض الرسائل النصية، سرقة بيانات البطاقات البنكية، استخراج قوائم الاتصال، إخفاء إشعارات الأمان، وإرسال رسائل من الجهاز المصاب لنشر العدوى. كما أن اعتمادها على تقنيات الإخفاء والتضليل يجعل من الصعب تحليلها أو اكتشافها. البنية التحتية للهجمات تعتمد على نطاقات متغيرة باستمرار، مما يعقد جهود المراقبة ويطيل عمر قنوات التحكم والسيطرة.

موجة جديدة من البرمجيات الخبيثة

لا يقتصر الخطر على “ووندرلاند”، إذ ظهرت برمجيات أخرى مثل Cellik التي تُباع عبر الإنترنت المظلم بأسعار تبدأ من 150 دولاراً، وتتيح للمهاجمين مراقبة الشاشة مباشرة، تسجيل ضغطات المفاتيح، تشغيل الكاميرا والميكروفون عن بُعد، ومسح البيانات. الأخطر أنها توفر أداة بناء تلقائية لدمج الحمولة الخبيثة داخل تطبيقات شرعية من متجر جوجل بلاي. كذلك برمجية Frogblight التي تستهدف مستخدمي تركيا عبر رسائل تصيد تدّعي وجود قضايا قانونية، وتجمع بيانات حساسة مثل سجلات المكالمات وقوائم التطبيقات. وفي الهند، ظهر NexusRoute الذي ينتحل بوابات حكومية لتوزيع ملفات APK خبيثة عبر منصات GitHub، جامعاً بين الاحتيال المالي والمراقبة الشاملة.

هذه التطورات تكشف عن تحول نوعي في عالم البرمجيات الخبيثة على أندرويد، حيث لم يعد الأمر مقتصراً على حملات بدائية، بل أصبح يعتمد على بنى إجرامية منظمة، أدوات متقدمة، وتوزيع واسع النطاق يهدد المستخدمين حول العالم.

وسوم