كشف باحثو الأمن عن حصان طروادة أندرويد جديد مخصص لمهاجمة البنوك يُدعى Datzbro، يُستخدم في هجمات الاستيلاء على الأجهزة (DTO) وعمليات احتيال مالية، مستهدفاً بالدرجة الأولى كبار السن. اكتشفت شركة الأمن الهولندية ThreatFabric الحملة في أغسطس 2025 بعد تقارير من أستراليا عن مجموعات فيسبوك تروّج لـ”رحلات نشطة لكبار السن”. كما شملت الحملات مناطق أخرى منها سنغافورة، ماليزيا، كندا، جنوب أفريقيا، والمملكة المتحدة.
تستغل الحملات حاجات المسنين للقاءات والنشاطات الاجتماعية عبر مجموعات تنشر محتوى مُولَّداً بالذكاء الاصطناعي يدّعي تنظيم فعاليات، ثم تتواصل مع الراغبين عبر فيسبوك ماسنجر أو واتساب لطلب تنزيل ملف APK من روابط احتيالية تُحاكي مواقع تسجيل تطبيقات مجتمعية.
طرق الانتشار وتقنيات الالتفاف على الحماية
توجه روابط التحميل الضارة الزائر إلى مواقع تزعم توفير تطبيق “مجتمعي” للتسجيل وربط الأعضاء وتتبع الفعاليات، وعند الضغط على زر التنزيل يتم نشر البرمجية الخبيثة مباشرة أو تثبيت “درابر” يستخدم خدمة ربط APK تسمى Zombinder لتجاوز قيود أندرويد 13 وما بعده.
وجدت ThreatFabric أن المهاجمين وضعوا أيضاً روابط نُسخ احتياطية تدّعي توفر تطبيق iOS عبر TestFlight، ما يشير إلى نيّة استهداف كلا نظامي التشغيل المحمولين. من الأمثلة على الحزم الاحتيالية التي وزّعت Datzbro أسماء تطبيقات مثل (Senior Group, Lively Years, ActiveSenior) وعدد من حزم تحمل أسماء أو رموزاً صينية وصينية-مقترنة.
قدرات التجسّس والاحتيال المالي
يتضمن Datzbro مجموعة واسعة من قدرات التجسّس والاحتيال المألوفة لدى تروجانات البنوك: تسجيل الصوت، التقاط الصور، الوصول إلى الملفات والصور، التحكم عن بُعد، هجمات تراكب الشاشات (overlay attacks)، وتسجيل ضربات المفاتيح (keylogging). يعتمد على خدمات إمكانية الوصول (Accessibility Services) لأداء إجراءات عن بُعد نيابةً عن الضحية.
ومن ميزاته المميّزة وضعية تحكم عن بُعد تخطيطية ترسل معلومات عن عناصر الشاشة، مواضعها ومحتواها، لتمكين المشغِّلين من إعادة إنشاء واجهة المستخدم والتحكم في الجهاز بكفاءة. كما يمكن للبرمجية عرض تراكب شبه شفاف بنص مخصَّص لإخفاء نشاطها، وسرقة رمز قفل الشاشة (PIN) وكلمات المرور المرتبطة بخدمات مثل Alipay وWeChat. تفحص البرمجية سجلات أحداث إمكانية الوصول بحثاً عن حزم تطبيقات بنكية أو محافظ تشفيرية ونصوص تحتوي رموز مرور أو أرقام PIN، ما يؤشر إلى تركيز مالي واضح في تصميمها.
ملاحظات حول المنسوبين والتداعيات العملية
تشير دلائل في الشيفرة إلى وجود سلاسل تصحيح أخطاء وتعليمات بالصينية، كما أن لوحة القيادة (C2) المرتبطة بالبرمجية تظهر كتطبيق سطح مكتب باللغة الصينية، ما يرجّح انتماء المطورين إلى مجموعة ناطقة بالصينية أو تسريب أداة جاهزة للتوزيع. وأوضح الباحثون أن نسخة مُجمعة من تطبيق التحكم سُربت إلى مستودع فيروسات عام، ما قد يؤدي إلى انتشار البرمجية بين مجرمين آخرين.
تُبرز اكتشافات Datzbro تطور تهديدات المحمول واستغلال الهندسة الاجتماعية عبر محتوى مُولَّد بالذكاء الاصطناعي لاستهداف فئات ضعيفة الثقة. ومع انتشار أساليب مثل استخدام CallScreeningService ودرابرات تتخطى قيود النظام، تصبح الحاجة ملحّة لتعزيز وعي المستخدمين—وخاصة كبار السن—وتطبيق ضوابط فنية وصلاحيات صارمة على تنزيل التطبيقات من خارج متاجر رسمية، ومراقبة مجموعات التواصل الاجتماعي التي تُروّج لأنشطة جذب للمستخدمين الضعفاء.
