كشفت شركة الأمن السيبراني Group-IB عن موجة جديدة من الهجمات التي يقودها مجموعة إجرامية مالية تُعرف باسم GoldFactory، مستهدفة مستخدمي الهواتف المحمولة في إندونيسيا وتايلاند وفيتنام. تعتمد هذه الهجمات على توزيع تطبيقات مصرفية معدلة تعمل كقنوات لنشر برمجيات خبيثة على نظام أندرويد، مع انتحال هوية مؤسسات حكومية وخدمات محلية موثوقة.
انتشار واسع وإصابات بالآلاف
بدأت أولى الحالات في تايلاند أواخر 2024، ثم ظهرت في فيتنام بداية 2025، لتصل إلى إندونيسيا منتصف العام نفسه. التحقيقات أظهرت أكثر من 300 عينة فريدة من التطبيقات المعدلة، أدت إلى ما لا يقل عن 11,000 إصابة، منها 2,200 حالة في إندونيسيا وحدها. حوالي 63% من هذه التطبيقات تستهدف السوق الإندونيسي تحديدًا.
أساليب التصيّد وانتحال الهوية
يعتمد المهاجمون على الاتصال الهاتفي المباشر لإقناع الضحايا بتنزيل التطبيقات المزيفة عبر روابط تُرسل على تطبيقات المراسلة مثل Zalo. في إحدى الحالات، انتحل المهاجمون هوية شركة الكهرباء الوطنية في فيتنام (EVN)، مطالبين الضحايا بدفع فواتير متأخرة لتجنب قطع الخدمة، ثم وجّهوا المستخدمين إلى روابط تؤدي إلى صفحات مزيفة تشبه متجر Google Play. هذه الروابط تُثبت برمجيات وصول عن بُعد مثل Gigabud وMMRat وRemo، والتي تستغل خدمات إمكانية الوصول في أندرويد للتحكم بالجهاز.
تقنيات متقدمة لتجاوز الحماية
التطبيقات المعدلة تحتفظ بوظائفها الأصلية لكنها تحتوي على وحدات خبيثة تُحقن في جزء من الكود. هذه الوحدات تستخدم تقنيات runtime hooking عبر أطر مثل:
- FriHook باستخدام أداة Frida
- SkyHook باستخدام إطار Dobby
- PineHook باستخدام إطار Pine
هذه الوحدات تسمح بإخفاء التطبيقات التي تستخدم خدمات الوصول، منع اكتشاف مشاركة الشاشة، تزوير توقيع التطبيقات، إخفاء مصدر التثبيت، والحصول على رصيد الحساب البنكي.
ظهور جيل جديد من البرمجيات الخبيثة
التحقيقات كشفت أيضًا عن نسخة تجريبية لبرمجية جديدة باسم Gigaflower، يُعتقد أنها خليفة لـ Gigabud. هذه البرمجية تدعم أكثر من 48 أمرًا، منها بث مباشر لنشاط الجهاز عبر WebRTC، تسجيل ضغطات المفاتيح، عرض شاشات مزيفة لسرقة بيانات الدخول، واستخدام خوارزميات التعرف على النصوص لاستخراج بيانات من صور بطاقات الهوية. كما يجري تطوير ميزة لمسح رموز QR على بطاقات الهوية الفيتنامية لتسهيل سرقة البيانات.
تحول في الاستهداف بين أنظمة التشغيل
من اللافت أن المجموعة تخلت عن تطوير برمجياتها الخاصة بنظام iOS، وبدأت تطلب من الضحايا استخدام أجهزة أندرويد تابعة لأقاربهم، في خطوة يُعتقد أنها نتيجة للتشديدات الأمنية وسياسات متجر التطبيقات على نظام آبل.
