تسعى حملة جديدة للبرامج الضارة إلى استخراج البيانات من الحسابات المصرفية للمستخدمين من خلال صفحات التصيد التي تفتح فقط عندما يدخل المستخدم إلى تطبيق على هاتفه المحمول.
تدعي شركة Cyble لأمن الكمبيوتر أنها اكتشفت فيروس طروادة جديدًا يستهدف مستخدمي أندرويد ، والذي يهدف إلى سرقة بيانات الاعتماد المصرفية والذي أطلقوا عليه اسم "Antidote". أنشأ المتسللون صفحات مزيفة تحثك على تحديث متجر تطبيقات أندرويد الرسمي، غوغل بلاي، والذي تمكنوا من خلاله من إدخال حصان طروادة إلى الهواتف الذكية.بمجرد تثبيت الحزمة على الهاتف المحمول، تظهر نافذة للمستخدم على الشاشة تحثه على إكمال تحديث لمتجر غوغل بلاي ، والذي يطلب من أجله الوصول إلى إعدادات إمكانية الوصول الخاصة بالجهاز.
وبهذه الطريقة، يستطيع المجرمون الحصول على معلومات من الجهاز، مثل تسجيل ضغطات المفاتيح، وقفل الهاتف أو فتحه، والوصول إلى جهات الاتصال والرسائل النصية القصيرة، من بين أمور أخرى. كما أنهم يستخدمون ميزة MediaProjection الخاصة بنظام أندرويد للوصول إلى محتوى الشاشة بالمعلومات الشخصية باستخدام VNC (حوسبة الشبكة الافتراضية).
الطريقة التي يصلون بها إلى المحتوى السري عبر هواتف المتضررين هي هجوم التراكب overlay attack، والذي من خلاله "ترسل البرامج الضارة قائمة بأسماء حزم التطبيق المثبت إلى خادم التحكم ، والذي سيتم استخدامه للعثور على التطبيق المستهدف. وتشير شركة Cyble إلى أنه بمجرد العثور عليه ، يرسل الخادم حقنًا يتسبب في نشر موقع تصيد مزيف عند الدخول إلى التطبيق المصرفي.
القدرات الأخرى لهذه البرمجيات الخبيثة، والتي تم تحديدها في البداية بواسطة Cyble في 6 مايو، هي تسجيل شاشة هاتف الضحية ، وتسجيل لوحة المفاتيح، وتقديم طلبات USSD وإعادة توجيه المكالمات.
يمكن لصفحات التصيد الاحتيالي لتحديث غوغل بلاي أن تظهر بشكل شرعي على هاتفك . إذا كانت الصفحة المقصودة التي أنشأها المجرمون واقعية بما فيه الكفاية، فقد يؤدي ذلك إلى عملية احتيال ناجحة تمامًا.
ومن بين التوصيات لتجنب هذا النوع من البرامج الضارة، يذكرنا Cyble بأهمية تنزيل التطبيقات فقط من المصادر الرسمية، مثل غوغل بلاي أو آب ستور ، مع توخي الحذر بشأن الأذونات الممنوحة للتطبيقات وتفعيل خدمة Google Play Protect على أجهزة أندرويد.
ليست هناك تعليقات:
إرسال تعليق