موجة تروجان جديدة تستهدف محافظ العملات الرقمية وتطبيقات البنوك

وجد باحثو الأمن السيبراني أربعة عائلات نشطة من برامج Android الضارة تستهدف أكثر من 800 تطبيق، بما في ذلك محافظ العملات الرقمية وتطبيقات البنوك. تستخدم هذه البرامج طرقًا لا يمكن لمعظم أدوات الأمان التقليدية اكتشافها.

أصدر فريق zLabs في Zimperium نتائج تتبع التروجان المعروفة باسم RecruitRat و SaferRat و Astrinox و Massiv.

وفقًا لأبحاث الشركة، كل عائلة لها شبكة أوامر وتحكم خاصة بها تستخدم لسرقة معلومات تسجيل الدخول، والسيطرة على المعاملات المالية، والحصول على بيانات المستخدم من الأجهزة المصابة.

تواجه تطبيقات العملات الرقمية والبنوك تهديدات جديدة من عدة برامج ضارة

عائلات البرامج الضارة تشكل تهديدًا مباشرًا لأي شخص يدير العملات الرقمية على نظام Android.

بمجرد تثبيتها، يمكن للتروجان وضع شاشات تسجيل دخول مزيفة فوق تطبيقات العملات الرقمية والبنوك الحقيقية، لسرقة كلمات المرور وغيرها من المعلومات الخاصة في الوقت الحقيقي. ثم تضع البرامج الضارة صفحة HTML مزيفة فوق واجهة التطبيق الحقيقية، مما يجعل ما أطلقت عليه الشركة “واجهة خداعية مقنعة للغاية”.

كتب باحثو الأمن من Zimperium: “باستخدام خدمات الوصول لمراقبة الواجهة الأمامية، يكتشف البرنامج الضار اللحظة الدقيقة التي يطلق فيها الضحية تطبيقًا ماليًا.”

وفقًا للتقرير، يمكن للتروجان أن يفعل أكثر من مجرد سرقة بيانات الاعتماد. يمكنه أيضًا التقاط رموز المرور لمرة واحدة، وبث شاشة الجهاز للمهاجمين، وإخفاء أيقونات تطبيقاتهم الخاصة، ومنع الأشخاص من إلغاء تثبيتها.

كل حملة تستخدم طعمًا مختلفًا لإقناع الناس بالوقوع فيها.

انتشرت SaferRat باستخدام مواقع إلكترونية مزيفة وعدت بالوصول المجاني إلى خدمات البث المميزة. أخفى RecruitRat حمولة برمجية ضمن عملية تقديم طلب وظيفة، وأرسل الضحايا إلى مواقع تصيد تطلب منهم تحميل ملف APK خبيث.

استخدمت Astrinox نفس نوع طريقة التوظيف، باستخدام النطاق xhire[.]cc. وبناءً على الجهاز المستخدم لزيارة الموقع، عرضت محتوى مختلفًا.

طُلب من مستخدمي Android تحميل ملف APK، بينما رأى مستخدمو iOS صفحة تشبه متجر تطبيقات Apple. ومع ذلك، لم يجد الباحثون أي دليل على أن نظام iOS تعرض للاختراق فعليًا.

لم يكن من الممكن تأكيد كيفية توزيع Massiv خلال دورة البحث.

استخدمت جميع التروجان الأربعة بنية تحتية للتصيد، وخدع الرسائل النصية، والهندسة الاجتماعية التي استغلت حاجة الناس للتحرك بسرعة أو فضولهم لإقناعهم بتحميل تطبيقات ضارة.

برامج العملات الرقمية الضارة تتجنب الكشف

تهدف الحملات إلى التملص من أدوات الأمان.

وجد الباحثون أن عائلات البرامج الضارة تستخدم تقنيات متقدمة لمكافحة التحليل وتلاعب هيكلي بحزم تطبيقات Android (APKs) للحفاظ على ما أطلقت عليه الشركة “معدلات اكتشاف قريبة من الصفر ضد آليات الأمان التقليدية المعتمدة على التوقيعات.”

كما تخلط الاتصالات الشبكية مع حركة المرور العادية. تستخدم التروجان اتصالات HTTPS و WebSocket للتواصل مع خوادم الأوامر الخاصة بها. وتضيف بعض النسخ طبقات إضافية من التشفير فوق هذه الاتصالات.

شيء آخر مهم هو الاستمرارية. لم تعد تروجان البنوك الحديثة على Android تستخدم إصابات بسيطة من مرحلة واحدة. بدلاً من ذلك، تستخدم عمليات تثبيت متعددة المراحل تهدف إلى التملص من نموذج أذونات Android المتغير، والذي جعل من الصعب على التطبيقات القيام بأشياء بدون إذن صريح من المستخدم.

لم يحدد التقرير محافظ العملات الرقمية أو البورصات المحددة ضمن التطبيقات المستهدفة التي تزيد عن 800 تطبيق. لكن، بسبب هجمات التراكب، واعتراض رموز المرور، وبث الشاشة، يمكن أن يكون أي تطبيق عملات رقمية على Android معرضًا للخطر إذا قام المستخدم بتثبيت ملف APK خبيث من خارج متجر Google Play.

لا يزال تحميل التطبيقات من روابط في الرسائل النصية، أو إعلانات الوظائف، أو المواقع الترويجية أحد الطرق المضمونة لدخول البرامج الضارة إلى الهاتف الذكي.

يجب على الأشخاص الذين يديرون عملاتهم الرقمية على أجهزة Android أن يقتصروا على استخدام المتاجر الرسمية للتطبيقات وأن يكونوا حذرين من الرسائل المنبثقة التي تطلب منهم تحميل شيء ما.

أذكى عقول العملات الرقمية قرأت بالفعل نشرنا الإخباري. هل تريد الانضمام إليهم؟