حملات برمجيات خبيثة جديدة تستهدف 800 تطبيق مصرفي عبر نظام Android

تشكل برمجيات Android المصرفية الخبيثة (Android banking malware) تهديداً متصاعداً، حيث تستهدف أربع حملات مكتشفة حديثاً أكثر من 800 تطبيق مالي وتطبيق للعملات المشفرة على مستوى العالم. حدد باحثو الأمن السيبراني في شركة Zimperium zLabs هذه العائلات البرمجية الخبيثة، والتي أُطلق عليها أسماء RecruitRat، وSaferRat، وAstrinox، وMassiv، حيث تعتمد على أساليب الهندسة الاجتماعية المتقدمة لاختراق حسابات المستخدمين. بالنسبة لمستخدمي نظام Android ومسؤولي تكنولوجيا المعلومات، يعد فهم مسارات العدوى أمراً بالغ الأهمية لمنع الخسائر المالية وتسريب البيانات.

تعتمد الجهات الفاعلة في التهديد بشكل كبير على التصيد الاحتيالي (Phishing) والتصيد عبر الرسائل النصية (Smishing) لنشر حمولاتها الخبيثة. تستدرج حملة SaferRat الضحايا عبر مواقع ويب احتيالية تقدم خدمات بث فيديو متميزة مجانية. بينما تستهدف برمجية RecruitRat الباحثين عن عمل من خلال إخفاء ملف APK الخبيث الخاص بها في شكل طلب توظيف على بوابات وظائف وهمية.

أما برمجية Astrinox، فتحاكي أداة أعمال مشروعة تسمى HireX، وتستخدم حتى صفحة هبوط مزيفة لمتجر Apple App Store لبناء الثقة قبل إسقاط الحمولة الخبيثة المخصصة لنظام Android. ولا تزال طريقة توزيع برمجية Massiv غير معلنة، مما يسلط الضوء على الطبيعة الخفية لهذه العمليات.

بمجرد التثبيت، تنفذ البرمجيات الخبيثة هجمات تراكب (Overlay attacks) مدمرة. عندما يفتح المستخدم تطبيقاً مصرفياً أو محفظة تشفير مستهدفة، تعرض البرمجية الخبيثة على الفور شاشة تسجيل دخول مزيفة متطابقة تماماً فوق التطبيق الشرعي. وتحتوي برمجية RecruitRat وحدها على مستودع محلي يضم أكثر من 700 صفحة تسجيل دخول مزيفة.

ولإخفاء نشاطها في الخلفية، تسيء البرمجيات الخبيثة استخدام أذونات خدمة إمكانية الوصول (Accessibility Service) في نظام Android لإنشاء تأثير "عصابة العينين". حيث تعرض شاشة مجمدة أو شاشة تحديث نظام مزيفة بينما يقوم المتسللون بصمت بجمع جهات الاتصال، وقراءة رسائل SMS، وتسجيل الشاشة باستخدام إطار عمل MediaProjection. والأهم من ذلك، يتيح هذا للمهاجمين اعتراض كلمات المرور لمرة واحدة (OTPs) في الوقت الفعلي، مما يتجاوز المصادقة الثنائية القياسية. كما تستخدم البرمجيات الخبيثة تقنية تسجيل ضغطات المفاتيح (Keylogging) وتحافظ على اتصال دائم بخوادم المهاجمين عبر بروتوكول WebSockets.

نظراً لخطورة حملات برمجيات Android المصرفية الخبيثة، يجب على المستخدمين اتخاذ خطوات دفاعية فورية لتأمين بياناتهم الشخصية:

1. تجنب التحميل الجانبي للتطبيقات: قم بتنزيل التطبيقات حصرياً من متجر Google Play الرسمي. يمنع هذا تثبيت ملفات APK غير الموثوقة التي تستخدمها برمجيات RecruitRat وAstrinox.
2. التدقيق في روابط الرسائل النصية: لا تنقر أبداً على الروابط الموجودة في الرسائل النصية العاجلة التي تدعي وجود مشكلات في الحساب. يؤدي هذا إلى تحييد نواقل التصيد الاحتيالي الأساسية المستخدمة لنشر الحمولات الخبيثة.
3. مراجعة أذونات إمكانية الوصول: تحقق بانتظام من إعدادات جهازك لمعرفة التطبيقات التي يمكنها الوصول إلى خدمة إمكانية الوصول (Accessibility Service). يؤدي إبطال هذا الإذن إلى إيقاف البرمجيات الخبيثة من تنفيذ تقنية "عصابة العينين" وتراكبات الشاشة.

يسلط اكتشاف برمجية RecruitRat ومتغيراتها بواسطة شركة Zimperium الضوء على اتجاه مقلق في الصناعة: التسليح المستمر لميزات نظام التشغيل الأساسية. من خلال إساءة استخدام خدمة إمكانية الوصول وإطار عمل MediaProjection، تتجاوز الجهات الفاعلة في التهديد المحيط الأمني التقليدي دون الحاجة إلى صلاحيات الجذر.

يشير احتواء برمجية RecruitRat على أكثر من 700 قالب تراكب محلي إلى عملية منظمة وممولة جيداً مصممة لتحقيق أقصى قدر من الانتشار. للمضي قدماً، من المرجح أن تواجه شركة Google ضغوطاً متزايدة لفرض مزيد من القيود على واجهات برمجة تطبيقات إمكانية الوصول في إصدارات Android المستقبلية، مما يفرض توازناً صعباً بين إمكانية وصول المستخدم والأمن المنهجي.