موجة جديدة من برمجيات أندرويد الخبيثة تستهدف الأجهزة عبر التراكبات وخداع المحاكاة وسرقة بيانات NFC

كشف باحثون في الأمن السيبراني عن تفاصيل برمجية خبيثة جديدة تُعرف باسم AntiDot، اخترقت أكثر من 3,775 جهاز أندرويد ضمن 273 حملة هجوم فريدة، مستخدمة تقنيات متقدمة تشمل التراكبات، خدمات الوصول، والمحاكاة الافتراضية.

برمجية AntiDot: ثلاثية الوظائف في خدمة الاحتيال

تُدار AntiDot من قِبل جهة تهديد مالية تُعرف باسم LARVA-398، وتُباع كخدمة برمجيات خبيثة كخدمة (MaaS) في المنتديات السوداء، وتُستخدم في حملات مختلفة لجمع بيانات حساسة. وتتميز بـ:

• تسجيل شاشة الجهاز عبر إساءة استخدام خدمات الوصول

• اعتراض الرسائل النصية القصيرة (SMS)

• سرقة البيانات من تطبيقات الطرف الثالث

ويُرجَّح أن تصل للمستخدمين عبر إعلانات خبيثة أو حملات تصيّد موجهة بناءً على اللغة والموقع الجغرافي.

آلية الانتشار والتسلل

ظهرت AntiDot لأول مرة في مايو 2024، حين تم رصدها متخفية في شكل تحديثات مزيفة لتطبيق Google Play. وتُستخدم حزمة تطبيق أندرويد (APK) مموهة ضمن ثلاث مراحل:

1. ملف APK مموه: يتم تحميله عبر رسالة تصيّد أو إعلان

2. تحميل ديناميكي لفئات مشفّرة: لتجاوز أنظمة الحماية

3. تنشيط ملف DEX خبيث: بعد منح إذن خدمات الوصول

قدرات السيطرة والتحكم

• هجمات تراكبية (Overlay Attacks): تُظهر شاشات تسجيل دخول مزيفة عند فتح تطبيقات مالية

• خدمات الوصول: لقراءة محتوى الشاشة وجمع البيانات السرية

• اعتراض الرسائل والمكالمات: بما في ذلك حظر أو إعادة توجيه المكالمات

• إخفاء الإشعارات: لتجنب تنبيهات المستخدم

البنية التحتية للتحكم عن بُعد

يستخدم المهاجمون لوحة تحكم مبنية بإطار MeteorJS، وتشمل:

• Bots: قائمة الأجهزة المخترقة

• Injects: تطبيقات مستهدفة بهجمات التراكب

• Analytic: تحليل التطبيقات المثبتة على الأجهزة الضحية

• Settings و Gates و Help: للتحكم في البنية التحتية وتقديم الدعم

عودة برمجية GodFather بقدرات محاكاة افتراضية

أعلنت شركة Zimperium zLabs عن تطور معقد جديد في برمجية GodFather المصرفية، التي تستخدم تقنية الافتراضية على الجهاز للسيطرة على تطبيقات البنوك والعملات الرقمية الحقيقية.

آلية الهجوم:

• التطبيق الخبيث يخلق بيئة افتراضية منعزلة على الجهاز

• تنزيل نسخة حقيقية من التطبيق المستهدف داخل هذه البيئة

• تحويل المستخدم إليها عند تشغيل التطبيق لمراقبة السلوك وسرقة البيانات

ويُمكن لهذه البرمجية:

• تجاوز أدوات التحليل الثابت

• سرقة رموز قفل الجهاز (نمط، رمز PIN، أو كلمة مرور)

• إساءة استخدام خدمات الوصول لرفع الامتيازات

• الالتفاف على حمايات أندرويد 13 باستخدام “التثبيت المعتمد على الجلسة”

استهداف تركيا تحديدًا

أفادت Zimperium أن الهجوم الحالي يركّز بشكل خاص على 12 مؤسسة مالية تركية، رغم أنه يستهدف نحو 500 تطبيق عالميًا.

برمجية SuperCard X: تهديد NFC يصل إلى روسيا

سجّلت روسيا أولى محاولات استهدافها ببرمجية SuperCard X، وهي إصدار خبيث من أداة NFCGate الشرعية، وتُستخدم في هجمات إعادة تمرير NFC (NFC relay) لسرقة بيانات بطاقات البنوك.

وفقًا لشركة F6 الروسية:

“تسمح هذه البرمجية للمهاجمين بالتقاط حركة بيانات NFC وسحب بيانات بطاقات البنوك لاستخدامها في عمليات سحب أو دفع احتيالية.”

تم رصد الهجمات في إيطاليا سابقًا، ويُعتقد أن البرمجية:

• تُوزّع عبر رسائل تصيّد (smishing)

• تستغل تقنيات relay لنقل البيانات من جهاز الضحية إلى جهاز المهاجم

• تُستخدم في السحب من أجهزة الصراف أو الدفع عبر نقاط البيع (PoS)

• تعود جذورها إلى منصة MaaS صينية تُسوَّق عبر Telegram

تطبيقات خبيثة في متاجر رسمية

كشفت أبحاث حديثة أيضًا عن وجود تطبيقات خبيثة في Google Play وApple App Store، منها تطبيق:

RapiPlata:

• تحميلات: حوالي 150,000 مرة على أندرويد وiOS

• الوظيفة المعلنة: تقديم قروض بفوائد منخفضة

• الوظيفة الحقيقية:

  • ابتزاز وتهديد وسرقة بيانات

  • الوصول إلى الرسائل، سجل المكالمات، التقويم، والتطبيقات

  • رفع البيانات إلى خوادم خارجية

تطبيقات احتيالية لمحافظ العملات الرقمية

• تُنشر من خلال حسابات مطورين مخترقة

• تُظهر صفحات تسجيل مزيفة عبر WebView

• تسعى لسرقة عبارات الاسترداد (Seed Phrases)

ورغم إزالة هذه التطبيقات من المتاجر، لا تزال متوفرة عبر متاجر الطرف الثالث، ما يستدعي توخي الحذر عند تحميل أي تطبيق مالي.