كشف باحثون في الأمن السيبراني عن إصدار جديد من تروجان HOOK الذي يستهدف أجهزة أندرويد، ويتميز بإضافة شاشات فدية شبيهة ببرمجيات ransomware لابتزاز المستخدمين.
شاشات فدية كاملة لابتزاز الضحايا
قال الباحث “فيشنو براتاباجيري” من شركة Zimperium zLabs إن الإصدار الجديد من HOOK قادر على عرض شاشة فدية تغطي الجهاز بالكامل، وتظهر رسالة تحذير إلى جانب عنوان محفظة رقمية ومبلغ فدية يتم جلبهما ديناميكيًا من خادم التحكم والسيطرة.
وأضاف أن هذه الشاشة تُفعَّل عند إرسال أمر “ransome” من الخادم، ويمكن للمهاجم إزالتها لاحقًا عبر أمر “delete_ransome”.
تطور مستمر لتروجان HOOK
يُعتقد أن HOOK هو نسخة مشتقة من تروجان ERMAC الذي تم تسريب شيفرته المصدرية على الإنترنت. وكغيره من البرمجيات الخبيثة البنكية، يعرض HOOK شاشات وهمية فوق التطبيقات المالية لسرقة بيانات تسجيل الدخول، كما يستغل خدمات الوصول (Accessibility) للتحكم في الجهاز وإجراء عمليات احتيال آليًا.
قدرات متقدمة للتحكم الكامل في الجهاز
يمتلك HOOK إمكانيات متطورة، مثل إرسال الرسائل النصية، بث شاشة الضحية، التقاط الصور من الكاميرا الأمامية، وسرقة ملفات تعريف الارتباط (Cookies) وعبارات الاسترداد لمحافظ العملات الرقمية.
وأشارت شركة Zimperium إلى أن الإصدار الأخير يدعم 107 أوامر للتحكم عن بُعد، بينها 38 أمرًا جديدًا، مثل:
-
ransome: لعرض شاشة فدية كاملة
-
delete_ransome: لإزالة شاشة الفدية
-
takenfc: لعرض شاشة وهمية لقراءة بيانات بطاقات NFC
-
unlock_pin: لعرض شاشة مزيفة لجمع رمز القفل أو النمط
-
takencard: لمحاكاة واجهة Google Pay وجمع بيانات البطاقات الائتمانية
-
start_record_gesture: لعرض شاشة شفافة وتسجيل حركات المستخدم
توزيع واسع عبر مواقع تصيّد ومستودعات مزيفة
يتم توزيع HOOK على نطاق واسع عبر مواقع تصيّد ومستودعات مزيفة على GitHub تحتوي على ملفات APK خبيثة. وتشمل عائلات برمجيات خبيثة أخرى يتم توزيعها عبر GitHub كلًا من ERMAC وBrokewell، مما يشير إلى اعتماد واسع لهذه الطريقة من قِبل المهاجمين.
وأكدت Zimperium أن تطور HOOK يعكس اندماج البرمجيات البنكية الخبيثة مع تكتيكات التجسس والفدية، مما يزيد من خطورة التهديد على المؤسسات المالية والمستخدمين الأفراد على حد سواء.
تطور تروجان Anatsa واستهدافه لخدمات مالية عالمية
وفي سياق متصل، كشفت شركة Zscaler ThreatLabs عن نسخة مطورة من تروجان Anatsa باتت تستهدف أكثر من 831 خدمة مالية ومحافظ عملات رقمية حول العالم، بما في ذلك بنوك في ألمانيا وكوريا الجنوبية، مقارنة بـ 650 هدفًا في السابق.
إحدى التطبيقات التي تحمل Anatsa تتنكر على شكل تطبيق لإدارة الملفات يحمل اسم الحزمة “com.synexa.fileops.fileedge_organizerviewer”، وتعمل كـ “Dropper” لتنزيل التروجان. وقد استبدل هذا الإصدار تقنية تحميل الأكواد الديناميكية بتثبيت مباشر للتروجان، كما يستخدم أرشيفات معطوبة لإخفاء الحزم التنفيذية.
استغلال خدمات الوصول ونوافذ التراكب
يطلب Anatsa صلاحيات خدمات الوصول في أندرويد، ثم يستغلها لمنح نفسه صلاحيات إضافية تتيح له إرسال واستقبال الرسائل النصية، وعرض نوافذ فوق التطبيقات الأخرى.
رصدت Zscaler ما مجموعه 77 تطبيقًا خبيثًا من عائلات متعددة مثل Anatsa وJoker وHarly على متجر Google Play، تجاوزت عمليات تثبيتها 19 مليون مرة.
ويُعد Harly نسخة معدلة من Joker تم اكتشافها لأول مرة عام 2022. وفي مارس الماضي، أعلنت شركة Human Security عن اكتشاف 95 تطبيقًا خبيثًا يحتوي على Harly داخل متجر جوجل بلاي.
وقال الباحث “هيمنشو شارما” إن تروجان Anatsa يواصل التطور من خلال تقنيات مضادة للتحليل لتجنب الاكتشاف، كما أضاف دعمًا لأكثر من 150 تطبيقًا ماليًا جديدًا لاستهدافها.
