كشف باحثون في الأمن السيبراني عن ستة عائلات جديدة من البرمجيات الخبيثة على نظام Android، تتمتع بقدرات متقدمة لسرقة البيانات من الأجهزة المصابة وتنفيذ عمليات احتيال مالي. هذه البرمجيات تتراوح بين أحصنة طروادة مصرفية تقليدية مثل PixRevolution وTaxiSpy RAT وBeatBanker وMirax وOblivion RAT، وصولاً إلى أدوات تحكم عن بُعد كاملة مثل SURXRAT.
PixRevolution: استهداف مباشر لمدفوعات Pix
يُعد PixRevolution الأخطر بين هذه العائلات، حيث يستهدف منصة المدفوعات الفورية Pix في البرازيل. يعمل بشكل خفي داخل الجهاز حتى يبدأ المستخدم عملية تحويل، ثم يتدخل في اللحظة الحرجة عبر مراقبة الشاشة في الزمن الحقيقي باستخدام MediaProjection API.
عند إدخال المستخدم لمفتاح Pix والمبلغ، يعرض التطبيق شاشة مزيفة تقول “Aguarde…” بينما يتم تعديل المفتاح ليصبح خاصاً بالمهاجم. في النهاية، يظهر للمستخدم تأكيد التحويل وكأن العملية تمت بشكل طبيعي، بينما الأموال ذهبت إلى حساب آخر. وبما أن التحويلات عبر Pix فورية ونهائية، فإن استرداد الأموال شبه مستحيل.
BeatBanker: مزيج بين التعدين والاحتيال
يستهدف BeatBanker المستخدمين عبر مواقع تصيّد تتظاهر بأنها متجر Google Play. يتميز بآلية بقاء غريبة تعتمد على تشغيل ملف صوتي قصير جداً بشكل متكرر لمنع إنهاء التطبيق.
يحمل التطبيق مكونات متعددة، منها وحدة لتعدين العملات الرقمية مثل Monero، ووحدة مصرفية قادرة على إنشاء شاشات مزيفة لتطبيقات مثل Binance وTrust Wallet، حيث يتم استبدال العنوان الحقيقي بعنوان المهاجم. كما يراقب المتصفحات الشهيرة ويجمع بيانات شخصية، ويستخدم Firebase Cloud Messaging للتحكم عن بُعد.
الإصدارات الحديثة من الحملة باتت تُسقط BTMOB RAT بدلاً من الوحدة المصرفية، وهو تطور لعائلات RAT مرتبطة بجهة تهديد سورية تُعرف باسم EVLF.
TaxiSpy RAT: مراقبة شاملة للأجهزة
يجمع TaxiSpy RAT بين وظائف أحصنة طروادة المصرفية وقدرات التحكم عن بُعد. يستخدم خدمات إمكانية الوصول وواجهات MediaProjection لجمع الرسائل النصية، جهات الاتصال، سجلات المكالمات، محتوى الحافظة، التطبيقات المثبتة، الإشعارات، وحتى رموز قفل الشاشة.
يستهدف بشكل خاص التطبيقات المصرفية والمالية الروسية، ويعتمد على تقنيات إخفاء متقدمة مثل تشفير المكتبات الأصلية، إخفاء النصوص عبر XOR، والتحكم عن بُعد يشبه VNC عبر WebSocket.
Mirax وOblivion: برمجيات كخدمة (MaaS)
تم الإعلان عن Mirax كخدمة برمجيات خبيثة خاصة (MaaS) بسعر يصل إلى 2500 دولار شهرياً للنسخة الكاملة. يوفر إمكانيات مثل شاشات مصرفية مزيفة، جمع بيانات حساسة، وإنشاء نفق SOCKS5.
أما Oblivion RAT فيُباع مقابل 300 دولار شهرياً، ويتميز بآلية منح أذونات تلقائية دون تدخل المستخدم، مما يجعله قادراً على تجاوز أنظمة الحماية في أجهزة Samsung وXiaomi وOPPO وHonor وOnePlus. يجمع بين التحكم الخفي، البقاء العميق، وبنية سهلة الاستخدام حتى للمهاجمين محدودي الخبرة.
SURXRAT: نسخة محسنة من Arsink
يُوزع SURXRAT عبر قنوات Telegram ويديره مهاجم إندونيسي. يعتمد على أذونات إمكانية الوصول للتحكم المستمر، ويتواصل مع خادم C2 عبر Firebase. بعض النسخ تتضمن وحدة إغلاق شاشة بأسلوب الفدية، تمنع الوصول إلى الجهاز حتى يتم دفع مبلغ مالي.
الأكثر إثارة أن بعض العينات أظهرت دمج مكون يعتمد على نماذج لغوية كبيرة (LLM)، يتم تفعيله عند تشغيل ألعاب مثل Free Fire MAX x JUJUTSU KAISEN، ما يشير إلى أن المهاجمين بدأوا في استكشاف الذكاء الاصطناعي لتعزيز قدراتهم.
