أعلنت شركة CYFIRMA للأمن السيبراني عن رصد برمجية خبيثة جديدة على نظام أندرويد تحمل اسم Lazarus Stealer، متنكرة في صورة تطبيق ظاهريًا غير ضار يُعرف بـ “GiftFlipSoft”.
هذا البرنامج الخبيث يستهدف بشكل مباشر عدة تطبيقات مصرفية روسية، حيث يقوم باستخراج أرقام البطاقات البنكية، والأرقام السرية (PIN)، بالإضافة إلى بيانات اعتماد حساسة أخرى، مع البقاء مخفيًا تمامًا عن واجهة الجهاز لمنع اكتشافه.
آلية عمل البرمجية الخبيثة
تم تصميم Lazarus Stealer بقدرات عالية على الاستمرارية (Persistence)، إذ يعمل في خلفية النظام دون أن يثير أي شك، بينما يقوم بنقل البيانات السرية إلى خوادم المهاجمين.
ويستغل البرمجية مجموعة من الصلاحيات عالية الخطورة على أجهزة أندرويد، من بينها:
-
صلاحيات الرسائل القصيرة (SMS) التي تتيح قراءة الرسائل النصية والتحكم فيها.
-
صلاحيات التراكب (Overlay) التي تسمح بعرض واجهات مزيفة فوق التطبيقات الشرعية، خصوصًا التطبيقات المصرفية، بغرض سرقة بيانات تسجيل الدخول.
-
صلاحيات الوصول إلى الاستخدام (Usage Access) التي تمكنه من مراقبة التطبيقات النشطة لحظة بلحظة، والتدخل عند تشغيل التطبيقات المستهدفة.
-
استخدام محتوى ديناميكي عبر WebView لعرض صفحات مزيفة توهم المستخدم بأنه يتعامل مع واجهة التطبيق الرسمية.
خطورة التهديد وتداعياته
بمجرد تثبيت التطبيق الخبيث، يطلب بشكل مباشر أن يصبح التطبيق الافتراضي للرسائل القصيرة، إضافة إلى تفعيله لصلاحيات “العرض فوق التطبيقات الأخرى”، ما يمنحه قدرة واسعة على تنفيذ عمليات التصيد الاحتيالي عبر شاشات مزورة يصعب على المستخدم تمييزها عن التطبيقات الأصلية.
ويرى خبراء الأمن السيبراني أن هذا النوع من الهجمات يفتح الباب أمام جرائم مالية واسعة النطاق، خصوصًا أن استهداف التطبيقات المصرفية على الهواتف الذكية يمثل وسيلة فعالة للوصول المباشر إلى حسابات المستخدمين.
الخلفية والارتباطات المحتملة
يأتي ظهور Lazarus Stealer في ظل تصاعد الهجمات الإلكترونية على القطاع المالي الروسي خلال العامين الماضيين، وسط تقارير متزايدة عن نشاط مجموعات تهديد متقدمة (APT groups) تستغل الثغرات في البنية التحتية الرقمية.
ورغم أن اسم “Lazarus” يرتبط عادةً بالمجموعة الكورية الشمالية الشهيرة المتورطة في هجمات إلكترونية واسعة، لم تؤكد CYFIRMA بعد وجود علاقة مباشرة بين هذه البرمجية الجديدة وتلك المجموعة. ومع ذلك، يبقى التشابه في التسمية مثيرًا للانتباه في أوساط المتابعين.
