حصان طروادة مصرفي جديد لنظام Android قادر على تحويل الأموال تلقائيًا من هاتفك إلى قراصنة الإنترنت

عادةً، عندما يتعلق الأمر بالبرامج الضارة على نظام Android، فإن الاكتشافات الجديدة غالبًا ما تعتمد على سابقتها. ولكن، هذا ليس هو الحال مع حصان طروادة مصرفي جديد لنظام Android، وهو حاليًا على نطاق واسع عبر الإنترنت. بل يبدو أنه مكتوب من الصفر، ولا توجد أوجه تشابه في التعليمات البرمجية مع عائلات البرامج الضارة الموجودة.

كما ذكرت The Hacker News، أطلق باحثو الأمن في Threat Fabric على هذا التروجان المصرفي الجديد اسم RatOn، وقد اكتشفوه أثناء التحقيق في سلالة برامج ضارة أخرى تستخدم تقنية الاتصال قريب المدى أو NFC في هجماتها لسرقة معلومات الدفع بدون تلامس من مستخدمي Android المطمئنين. الجزء الأكثر إثارة للدهشة في هذه العينة الجديدة هو أنها لم تكن مجرد تطبيق ضار واحد، بل كانت جزءًا من حملة تتضمن تطبيقات متعددة.

بعد تحليل هذه الحملة الجديدة بشكل أكبر، اكتشفت Threat Fabric أن RatOn هو حصان طروادة مصرفي كامل الوظائف يتمتع بقدرات فريدة متعددة. بالإضافة إلى القدرة على السيطرة على أحد أفضل هواتف Android والحسابات الموجودة عليه، يمكن لحصان طروادة المصرفي أيضًا إجراء تحويلات مالية تلقائية بالإضافة إلى استخدام هجمات التراكب المخصصة لخداع الضحايا وجعلهم يعتقدون أن أجهزتهم مصابة ببرامج الفدية.

إليك كل ما تحتاج لمعرفته حول سلالة البرامج الضارة الجديدة هذه، بالإضافة إلى بعض النصائح والحيل للحفاظ على أمان هاتف Android الخاص بك من أحصنة طروادة المصرفية التي يمكن أن تستنزف حساباتك المالية تمامًا.

من التراكبات إلى التحويلات المالية التلقائية

في محاولة لخداع الضحايا المحتملين لتثبيت تطبيقاتهم الخبيثة، قام الهاكرز الذين يقفون وراء هذه الحملة بتسجيل العديد من النطاقات ذات الطابع الإباحي، واستخدموها كطعم. على وجه التحديد، احتوت هذه المواقع المزيفة على عبارة “TikTok18+” في أسمائها. ومع ذلك، لم يتمكن باحثو الأمن في Threat Fabric من معرفة كيف تمكن الهاكرز من جذب ضحاياهم إلى هذه المواقع. في الماضي، رأيت هاكرز يستخدمون رسائل التصيد الاحتيالي، ورسائل عشوائية على وسائل التواصل الاجتماعي، وحتى إعلانات وهمية لجعل الناس ينقرون على روابط لمواقعهم الخبيثة.

إذا كان هناك من هو ساذج بما يكفي لتثبيت نسخة “للكبار فقط” من TikTok على هاتفه الذي يعمل بنظام Android، فما سيتم تثبيته فعليًا هو برنامج ضار لتثبيت البرامج أو أداة تثبيت برامج تابعة لجهات خارجية. من خلال خداع المستخدمين لمنحه الإذن بتثبيت التطبيقات من مصادر غير معروفة، يتمكن برنامج التثبيت الضار من تجاوز وسائل الحماية الأمنية المدمجة في Android. يتم استخدام هذا لتنزيل وتثبيت الحمولة الأولى، وبعد ذلك، يتم طلب الحمولة الثانية واثنين من الأذونات الأخرى الضرورية للمتسللين الذين يتطلعون إلى ارتكاب عمليات احتيال على الجهاز: الوصول إلى خدمات تسهيل الاستخدام وامتياز مسؤول الجهاز.

مثل برامج حصان طروادة المصرفية الأخرى، يستغل RatOn خدمات تسهيل الاستخدام في Android لشن هجمات تراكب على جهاز مصاب. بالنسبة لأولئك غير المعتادين على هذه الهجمات، فإنها تتضمن قيام المتسللين بوضع تراكب فوق تطبيقات الخدمات المصرفية والمالية الشائعة يكون مطابقًا تقريبًا لشاشة تسجيل الدخول الشرعية. بهذه الطريقة، يمكن للمتسللين جمع بيانات اعتماد الضحية المصرفية للوصول إلى حساباتهم دون علمهم، حيث يعتقدون أنهم يقومون بتسجيل الدخول إلى أحد تطبيقات الخدمات المصرفية أو المالية أو محافظ العملات المشفرة الخاصة بهم.

شيء آخر مثير للاهتمام يمكن لمجرمي الإنترنت الذين ينشرون برامج RatOn الضارة القيام به هو استخدام تراكب لجعل الضحايا يعتقدون أن هواتفهم قد تم قفلها من قبل المتسللين. بالطبع، لفتحها، يحتاجون إلى إرسال مبلغ كبير من المال، تمامًا كما هو الحال مع هجوم برامج الفدية. ومع ذلك، في حين أن هواتفهم ليست مصابة فعليًا ببرامج الفدية، إلا أنها مخترقة بواسطة حصان طروادة المصرفي RatOn.

يطلب RatOn أيضًا الوصول إلى قراءة/كتابة جهات الاتصال وإدارة إعدادات النظام لتنفيذ نشاطه الخبيث. من هناك، يتم تنزيل حمولة ثالثة، وهي في الواقع برنامج NFSkate الضار الذي كانت Threat Fabric تبحث فيه في البداية. باستخدام تقنية تعرف باسم Ghost Tap، يمكن لـ NFSkate تنفيذ هجمات ترحيل NFC وسرقة معلومات الدفع غير التلامسية. ومع ذلك، مع سلالة البرامج الضارة هذه، يجب تنفيذ هذه الهجمات شخصيًا في نطاق مادي لهاتف Android مستهدف.

الآن، مع برنامج RatOn، يمكن لهذه البرمجية الخبيثة الجديدة إجراء تحويلات مالية تلقائية (ATS) عن طريق استغلال خدمات الوصول في نظام Android. هذا يعني أن المخترقين الذين ينشرون هذه البرمجية الخبيثة في هجماتهم يمكنهم سحب الأموال من حساباتك المصرفية من أي مكان في العالم، حيث لا يحتاجون إلى أن يكونوا معك في نفس الغرفة.

كيف تحمي نفسك من حصان طروادة المصرفي؟

الخبر الجيد هنا هو أن برنامج RatOn يستخدم حاليًا فقط لاستهداف مستخدمي Android في جمهورية التشيك. ومع ذلك، كما هو الحال مع أي سلالة من البرامج الضارة لنظام Android، قد يكون هذا الموقع الجغرافي مجرد أرض اختبار للتأكد من أنه يعمل قبل أن يبدأ مبتكرو البرامج الضارة في استهداف هواتف Android في بلدان أخرى مثل الولايات المتحدة أو المملكة المتحدة.

سأراقب عن كثب برنامج RatOn وكيف تتطور هذه السلالة الجديدة من البرامج الضارة لنظام Android، ولكن في غضون ذلك، إليك بعض النصائح والحيل للمساعدة في الحفاظ على هاتفك (وحسابك المصرفي) في مأمن من أحصنة طروادة الخطيرة.

بادئ ذي بدء، يجب ألا تقوم أبدًا بتثبيت تطبيقات Android من مصادر غير موثوقة. الأفضل دائمًا تحميل تطبيقاتك الجديدة من المتاجر الرسمية مثل Google Play Store و Samsung Galaxy Store. قد تمنع Google المستخدمين قريبًا من تثبيت التطبيقات من مصادر خارجية تمامًا في الإصدار القادم من Android، ولكن في الوقت الحالي، يجب عليك تجنب ذلك حتى لو بدت طريقة سهلة لتثبيت تطبيقات جديدة على هاتفك.

عندما يتعلق الأمر بالتطبيقات الجديدة، يجب أن تكون حذرًا للغاية عند تثبيتها، حيث يمكن حتى لـ التطبيقات الجيدة أن تتحول إلى تطبيقات ضارة. لهذا السبب أوصي بشدة بتقليل عدد التطبيقات الموجودة على هاتفك بشكل عام، وإذا وجدت أنك لم تستخدم تطبيقًا معينًا لفترة طويلة، فمن الأفضل حذفه.

للحفاظ على سلامتك من التطبيقات الضارة، تأكد من تفعيل Google Play Protect على هاتفك. يقوم هذا البرنامج الأمني المجاني والمدمج بفحص جميع تطبيقاتك الحالية، بالإضافة إلى أي تطبيقات جديدة تقوم بتنزيلها، بحثًا عن برامج ضارة أو علامات أخرى على نشاط ضار. لمزيد من الحماية، قد ترغب أيضًا في تشغيل أحد أفضل تطبيقات مكافحة الفيروسات لنظام Android بجانبه.

لا يتباطأ المخترقون في أي وقت قريب، وهناك باستمرار سلالات جديدة من البرامج الضارة وأحصنة طروادة المصرفية مثل RatOn التي تحتاج إلى الانتباه إليها. ومع ذلك، إذا كنت تمارس نظافة إلكترونية جيدة، وتتجنب النقر على الروابط من مرسلين غير معروفين ولا تقوم بتثبيت تطبيقات من مصادر خارجية وجدتها على مواقع أقل موثوقية، فيجب أن تكون في أمان.