تهدد هجمة البرامج الضارة منصات التمويل الرقمية ومستودعات التخزين عبر الإنترنت.

اكتشف باحثو الأمن السيبراني أربع عائلات نشطة من البرامج الضارة التي تعمل بنظام Android والتي تستهدف أكثر من 800 تطبيق، بما في ذلك محافظ العملات المشفرة والتطبيقات المصرفية. تستخدم هذه البرامج الضارة أساليب لا تستطيع معظم أدوات الأمان التقليدية اكتشافها.

أصدر فريق zLabs التابع لشركة Zipperium نتائج تتبع أحصنة طروادة المعروفة باسم RecruitRat، وSaferRat، وAstrinox، وMassiv.

ووفقًا لأبحاث الشركة، فإن كل عائلة لديها شبكة قيادة وتحكم خاصة بها تستخدمها لسرقة معلومات تسجيل الدخول، وتولي المعاملات المالية، والحصول على بيانات المستخدم من الأجهزة المصابة.

تواجه تطبيقات العملات المشفرة والتطبيقات المصرفية تهديدات جديدة من برامج ضارة متعددة

تشكل عائلات البرامج الضارة تهديدًا مباشرًا لأي شخص يدير العملات المشفرة على نظام Android.

بمجرد التثبيت، يمكن لأحصنة طروادة وضع شاشات تسجيل دخول مزيفة أعلى تطبيقات العملات المشفرة والتطبيقات المصرفية الحقيقية، وسرقة كلمات المرور والمعلومات الخاصة الأخرى في الوقت الفعلي. تقوم البرمجيات الخبيثة بعد ذلك بوضع صفحة HTML مزيفة على واجهة التطبيق الحقيقية، مما يجعل ما أسمته الشركة "واجهة خادعة ومقنعة للغاية".

وكتب باحثون أمنيون من Zimperium: "باستخدام خدمات إمكانية الوصول لمراقبة المقدمة، تكتشف البرامج الضارة اللحظة المحددة التي يقوم فيها الضحية بتشغيل تطبيق مالي".

ووفقا للتقرير، يمكن لأحصنة طروادة أن تفعل أكثر من مجرد سرقة بيانات الاعتماد. ويمكنهم أيضًا التقاط رموز المرور لمرة واحدة، وبث شاشة الجهاز إلى المهاجمين، وإخفاء أيقونات التطبيقات الخاصة بهم، ومنع الأشخاص من إلغاء تثبيتها.

تستخدم كل حملة طُعمًا مختلفًا لجذب الأشخاص إليها.

انتشرت SaferRat باستخدام مواقع ويب مزيفة وعدت بالوصول المجاني إلى خدمات البث المتميزة. وأخفى برنامج RecruitRat حمولته كجزء من عملية التقدم للوظيفة، وأرسل الأهداف إلى مواقع التصيد التي طلبت منهم تنزيل ملف APK ضار.

استخدم Astrinox نفس النوع من الأساليب القائمة على التوظيف، باستخدام المجال xhire[.]cc. اعتمادًا على الجهاز المستخدم لزيارة هذا الموقع، أظهر محتوى مختلفًا.

طُلب من مستخدمي Android تنزيل ملف APK، وشاهد مستخدمو iOS صفحة تشبه متجر تطبيقات Apple. ومع ذلك، لم يجد الباحثون الأمنيون أي دليل على أن نظام التشغيل iOS قد تم اختراقه بالفعل.

ولم يكن من الممكن التأكد من كيفية توزيع ماسيف خلال دورة البحث.

استخدمت جميع أحصنة طروادة الأربعة البنية التحتية للتصيد الاحتيالي، وعمليات الاحتيال عبر الرسائل النصية، والهندسة الاجتماعية التي استغلت حاجة الأشخاص إلى التصرف بسرعة أو فضولهم لحملهم على تحميل التطبيقات الضارة بشكل جانبي.

تتهرب برامج التشفير الخبيثة من الكشف عنها

وتهدف الحملات إلى الالتفاف حول الأدوات الأمنية.

ووجد الباحثون أن عائلات البرمجيات الخبيثة تستخدم تقنيات متقدمة لمكافحة التحليل والتلاعب الهيكلي بحزم تطبيقات أندرويد (APKs) للحفاظ على ما أسمته الشركة "معدلات اكتشاف قريبة من الصفر مقابل آليات الأمان التقليدية القائمة على التوقيع".

تمتزج اتصالات الشبكة أيضًا مع حركة المرور العادية. تستخدم أحصنة طروادة اتصالات HTTPS وWebSocket للتحدث مع خوادم الأوامر الخاصة بها. تضيف بعض الإصدارات طبقات إضافية من التشفير فوق هذه الاتصالات.

شيء آخر مهم هو المثابرة. لم تعد أحصنة طروادة المصرفية الحديثة التي تعمل بنظام Android تستخدم حالات العدوى البسيطة ذات المرحلة الواحدة. وبدلاً من ذلك، يستخدمون عمليات تثبيت متعددة المراحل تهدف إلى التغلب على نموذج الأذونات المتغير لنظام Android، مما جعل من الصعب على التطبيقات القيام بالأشياء دون إذن صريح من المستخدم.

ولم يحدد التقرير محافظ أو بورصات عملات مشفرة معينة ضمن أكثر من 800 تطبيق مستهدف. ولكن بسبب هجمات التراكب، واعتراض رمز المرور، وتدفق الشاشة، قد يكون أي تطبيق تشفير قائم على نظام Android معرضًا للخطر إذا قام المستخدم بتثبيت ملف APK ضار من خارج متجر Google Play.

لا يزال تنزيل التطبيقات من الروابط الموجودة في الرسائل النصية أو إعلانات الوظائف أو مواقع الويب الترويجية إحدى الطرق المضمونة لوصول البرامج الضارة المحمولة إلى الهاتف الذكي.

يجب على الأشخاص الذين يديرون عملاتهم المشفرة على أجهزة Android استخدام متاجر التطبيقات الرسمية فقط والحذر من الرسائل المنبثقة التي تطلب منهم تنزيل شيء ما.