لوحظ أن تطبيقات أندرويد الضارة التي تتنكر في شكل قوقل وإنستغرام وسناب شات وواتساب وتويتر تسرق بيانات اعتماد المستخدمين من الأجهزة المخترقة.
وقال فريق أبحاث التهديدات SonicWall Capture Labs في تقرير حديث: "تستخدم هذه البرامج الضارة أيقونات تطبيقات أندرويد الشهيرة لتضليل المستخدمين وخداع الضحايا لتثبيت التطبيق الضار على أجهزتهم".
ناقل التوزيع للحملة غير واضح حاليًا. ومع ذلك، بمجرد تثبيت التطبيق على هواتف المستخدمين، فإنه يطلب منهم منحه أذونات لخدمات إمكانية الوصول وواجهة برمجة تطبيقات مسؤول الجهاز ، وهي ميزة مهملة الآن توفر ميزات إدارة الجهاز على مستوى النظام.
يتيح الحصول على هذه الأذونات للتطبيق المحتال التحكم في الجهاز، مما يجعل من الممكن تنفيذ إجراءات تعسفية تتراوح بين سرقة البيانات ونشر البرامج الضارة دون علم الضحايا.
تم تصميم البرمجيات الخبيثة لإنشاء اتصالات مع خادم القيادة والتحكم (C2) لتلقي الأوامر للتنفيذ، مما يسمح لها بالوصول إلى قوائم جهات الاتصال، والرسائل النصية القصيرة، وسجلات المكالمات، وقائمة التطبيقات المثبتة؛ إرسال رسائل نصية قصيرة؛ افتح صفحات التصيد الاحتيالي على متصفح الويب، وقم بتبديل مصباح الكاميرا.
الأمن الإلكتروني
تحاكي عناوين URL للتصيد الاحتيالي صفحات تسجيل الدخول الخاصة بالخدمات المعروفة مثل Facebook وGitHub وInstagram وLinkedIn وMicrosoft وNetflix وPayPal وProton Mail وSnapchat وTumblr وX وWordPress وYahoo.
ويأتي هذا التطوير في الوقت الذي حذرت فيه شركة Symantec المملوكة لشركة Broadcom من حملة هندسة اجتماعية تستخدم واتساب كوسيلة توصيل لنشر برنامج ضار جديد يعمل بنظام أندرويد من خلال التظاهر بأنه تطبيق متعلق بالدفاع.
وقالت سيمانتيك: "عند التسليم الناجح، سيتم تثبيت التطبيق نفسه تحت ستار تطبيق جهات الاتصال" . "عند التنفيذ، سيطلب التطبيق أذونات للرسائل النصية القصيرة وجهات الاتصال والتخزين والهاتف ثم يزيل نفسه من العرض."
ويأتي ذلك أيضًا بعد اكتشاف حملات البرامج الضارة التي توزع أحصنة طروادة المصرفية لنظام أندرويد مثل Coper ، القادرة على جمع المعلومات الحساسة وعرض تراكبات النوافذ المزيفة، وخداع المستخدمين لتسليم بيانات اعتمادهم دون علمهم.
تطبيقات أندرويد الضارة
في الأسبوع الماضي، كشف المركز الوطني للأمن السيبراني في فنلندا (NCSC-FI) عن استخدام رسائل التصيد الاحتيالي لتوجيه المستخدمين إلى البرامج الضارة التي تعمل بنظام أندرويد والتي تسرق البيانات المصرفية.
تستفيد سلسلة الهجوم من تقنية تسمى تسليم الهجوم الموجه عبر الهاتف (TOAD)، حيث تحث الرسائل النصية القصيرة المستلمين على الاتصال برقم فيما يتعلق بمطالبة تحصيل الديون.
بمجرد إجراء المكالمة، يقوم المحتال على الطرف الآخر بإبلاغ الضحية أن الرسالة احتيالية وأنه يجب عليهم تثبيت تطبيق مكافحة الفيروسات على هواتفهم للحماية.
كما يطلبون من المتصل النقر على رابط مرسل في رسالة نصية ثانية لتثبيت برنامج الأمان المزعوم، ولكنه في الواقع برنامج ضار مصمم لسرقة بيانات اعتماد الحساب المصرفي عبر الإنترنت وإجراء تحويلات أموال غير مصرح بها في النهاية.
على الرغم من عدم تحديد NCSC-FI لسلالة البرامج الضارة التي تعمل بنظام أندرويد والتي تم استخدامها في الهجوم، إلا أنه يشتبه في أنها Vultr ، والتي قامت مجموعة NCC بتفصيلها في أوائل الشهر الماضي على أنها تستفيد من عملية مماثلة تقريبًا للتسلل إلى الأجهزة.
الأمن الإلكتروني
كما تم اكتشاف برامج ضارة تعتمد على نظام التشغيل أندرويد مثل Tambir وDwphon في الأشهر الأخيرة مع العديد من ميزات تجميع الأجهزة، حيث تستهدف الأخيرة الهواتف المحمولة من قبل شركات تصنيع الهواتف الصينية والمخصصة في المقام الأول للسوق الروسية.
وقال كاسبرسكي: "يأتي Dwphon كأحد مكونات تطبيق تحديث النظام ويعرض العديد من خصائص البرامج الضارة المثبتة مسبقًا لنظام أندرويد" .
"إن مسار الإصابة الدقيق غير واضح، ولكن هناك افتراض بأن التطبيق المصاب تم دمجه في البرامج الثابتة نتيجة لهجوم محتمل على سلسلة التوريد."
تظهر بيانات القياس عن بعد التي حللتها شركة الأمن السيبراني الروسية أن عدد مستخدمي أندرويد الذين تعرضوا للهجوم من خلال البرامج الضارة المصرفية زاد بنسبة 32٪ مقارنة بالعام السابق، حيث قفز من 57219 إلى 75521. وتم الإبلاغ عن غالبية الإصابات في تركيا والمملكة العربية السعودية وإسبانيا وسويسرا والهند.
وأشار كاسبرسكي إلى أنه "على الرغم من استمرار انخفاض عدد المستخدمين المتأثرين بالبرامج الضارة للخدمات المصرفية عبر أجهزة الكمبيوتر، فقد شهد عام 2023 زيادة كبيرة في عدد المستخدمين الذين يواجهون أحصنة طروادة للخدمات المصرفية عبر الهاتف المحمول" .
المصدر: The Hacker News