برمجية خبيثة تسرق أموالك دون أي إنذار

رصد باحثون في مجال الأمن السيبراني نسخة جديدة من حصان طروادة المصرفي المخصص لنظام أندرويد المعروف باسم TrickMo، والتي باتت تستخدم شبكة TON كوسيلة للاتصال مع خوادم التحكم والأوامر C2.

وبحسب شركة ThreatFabric التي تابعت النشاط فإن النسخة الجديدة تستهدف بشكل نشط مستخدمي الخدمات المصرفية ومحافظ العملات الرقمية في عدة دول.

برمجية خبيثة تسرق أموالك دون أي إنذارأوضحت الشركة في تقريرها أن النسخة الحديثة من البرمجية الخبيثة تعتمد على حمل برمجي يتم تحميله أثناء التشغيل يعرف باسم dexmodule، وهو امتداد لإصدارات سابقة لكنه جاء بقدرات موسعة تشمل وظائف متقدمة مرتبطة بالشبكات مثل الاستطلاع، ونفق SSH، ودعم بروكسي SOCKS5، ما يسمح بتحويل الأجهزة المصابة إلى نقاط عبور وتحكم شبكي قابلة للبرمجة.

ويعد TrickMo أحد برمجيات الاستيلاء على الأجهزة التي ظهرت لأول مرة أواخر عام 2019، وقد تم رصده سابقا من قبل CERT-Bund وIBM X-Force، حيث عرف بقدرته على استغلال خدمات “إمكانية الوصول” في أندرويد لاختطاف رموز التحقق لمرة واحدة OTP.

كما يمتلك البرمجية الخبيثة مجموعة واسعة من الأدوات تشمل سرقة بيانات تسجيل الدخول، تسجيل ضغطات لوحة المفاتيح، تسجيل الشاشة وبثها مباشرة، واعتراض الرسائل النصية، ما يمنح المهاجم سيطرة شبه كاملة على الجهاز.

وتشير الإصدارات الأخيرة، التي تحمل اسم TrickMo C، إلى أنها توزع عبر مواقع تصيد وتطبيقات خبيثة، تقوم بدور وسيط لتحميل ملف APK ديناميكي يتم جلبه أثناء التشغيل من بنية تحت سيطرة المهاجمين.

ووفقا لـ ThreatFabric، فإن البرمجية تتضمن بروكسي TON مدمجا يتم تشغيله على منفذ محلي عند بدء التنفيذ، بحيث يتم توجيه طلبات HTTP الخاصة بالبوت عبر هذا البروكسي، ليتم إرسالها إلى نطاقات تعتمد صيغة.

adnl داخل شبكة TON.

وتتنكر التطبيقات الحاملة للبرمجية غالبا في هيئة نسخ “مخصصة للبالغين” من تطبيق تيك توك عبر فيسبوك، بينما تنتحل البرمجية نفسها هوية خدمات Google Play.

وتوضح ThreatFabric أن الإصدارات الجديدة لم تعد تعتمد فقط على التحكم عبر خدمات الوصول، بل أصبحت تضم وحدة متقدمة لوظائف الشبكات، تجعل من الجهاز المصاب منصة لاختراق الشبكات بدلا من كونه مجرد حصان طروادة مصرفي تقليدي.

كما تتضمن النسخة الجديدة خاصية SOCKS5 proxy تحول الهاتف المصاب إلى نقطة خروج لحركة مرور خبيثة، ما يساعد على تجاوز أنظمة كشف الاحتيال القائمة على عناوين IP في خدمات البنوك والتجارة الإلكترونية وتبادل العملات الرقمية.

وأضاف الباحثون أن البرمجية تحتوي أيضا على ميزات غير مفعلة حاليا، مثل صلاحيات موسعة مرتبطة بتقنيات NFC، ما قد يشير إلى نية لتوسيع قدراتها في الإصدارات المستقبلية.

وبحسب ThreatFabric، فإن استخدام نطاقات.

adnl عبر بروكسي TON المدمج يقلل من فعالية أساليب الحجب والإيقاف التقليدية، ويجعل حركة البيانات أكثر تشابها مع نشاط شبكة TON الشرعي، ما يصعب عمليات الكشف والمكافحة.

لضمان الحماية من مثل هذه البرمجيات:- لا تقم بتحميل التطبيقات من خارج المتاجر الرسمية (تجنب ملفات APK)- فعل ميزة Google Play Protect- استخدم تطبيقات أمان موثوقة للكشف عن التهديدات- تحقق دائما من مصدر الروابط والتطبيقات- لا تمنح صلاحيات الوصول للرسائل أو المكالمات لتطبيقات غير موثوقة.