أعلنت شركة أمن المعلومات (تريند مايكرو) Trend Micro عن اكتشافها لعائلتين جديدتين من البرامج الضارة في نظام التشغيل أندرويد، تحت اسمي "CherryBlos" و"FakeTrade". ووفقًا للشركة، تهدف هاتان العائلتان الضارتان إلى سرقة بيانات الاعتماد للعملات المشفرة والأموال، بالإضافة إلى تنفيذ عمليات احتيال.
وفي بيان صدر عن الشركة، أكدت أن العائلتين الضارتين يتم استخدامهما لنفس البنية التحتية والشهادات، مما يوحي بأنهما تتبعان نفس جهة التهديد الفاعلة.
وتستخدم البرامج الضارة هذه قنوات توزيع متنوعة، من بينها وسائل التواصل الاجتماعي ومواقع التصيد الاحتيالي، إضافة إلى تواجدها في تطبيقات التسوق الخادعة داخل متجر جوجل بلاي، الذي يعتبر المتجر الرسمي لنظام التشغيل أندرويد.
وبالنسبة لعائلة CherryBlos، فقد تم رصد تواجدها لأول مرة في شهر نيسان/ أبريل من العام الماضي، حيث تم الترويج لها عبر تطبيقات تليجرام وتويتر ويوتيوب بزعم أنها أدوات للذكاء الاصطناعي أو لتعدين العملات المشفرة.
وتم استخدام أسماء لملفات APK مختلفة للترويج لبرامج CherryBlos، مثل "GPTalk"، و"Happy Miner"، و"Robot999"، و"SynthNet"، وذلك عبر تحميلها من مواقع ويب تحاكي أسماء نطاقات مشابهة مثل: chatgptc[.]io، وHappyminer[.]com، وrobot999[.]net، وsynthnet[.]ai.
برنامج CherryBlos يتسم بخطورته وقدرته على سرقة العملات المشفرة عن طريق استخدام أذونات خدمة إمكانية الوصول للجهاز، حيث يمكنه الوصول إلى ملفات التكوين من خادم C2 والموافقة تلقائيًا على أذونات إضافية، ومنع المستخدم من حذف التطبيق الضار.
وتعتمد CherryBlos على عدة تكتيكات لسرقة بيانات اعتماد العملات المشفرة، حيث يقوم بتحميل واجهات مستخدم مزيفة تشبه التطبيقات الرسمية، بهدف جمع بيانات الاعتماد الحساسة.
وفي ميزة مثيرة للاهتمام، يمكن للبرنامج الضار استخدام التعرف الضوئي للحروف (OCR) لاستخراج النص من الصور المخزنة على الجهاز، مما يسمح له بالوصول إلى عبارات الاسترداد التي تستخدم عادةً لإعداد محافظ العملات المشفرة.
وبالرغم من عدم النصح بالتقاط صور لعبارات الاسترداد الخاصة بهم، فإن بعض المستخدمين يقومون بذلك على أجهزتهم المكتبية والمحمولة. وفي حال تم تفعيل ميزة البرامج الضارة هذه، فإنها قادرة على التعرف على النص في الصورة واستخراج عبارات الاسترداد، مما يسمح للمهاجمين بسرقة المحفظة.
بالإضافة إلى ذلك، تُظهر الدراسات أن البرامج الضارة تعمل أيضًا كخاطف للحافظة لتطبيق باينانس Binance، حيث تقوم بتغيير عنوان مستلم التشفير مع عنوان تحت سيطرة المهاجم، في حين يظهر العنوان الأصلي للمستخدم دون تغيير، مما يسمح للجهات الفاعلة بإعادة توجيه المدفوعات إلى محافظهم الخاصة وسرقة الأموال بفاعلية.
بالإضافة إلى عائلة CherryBlos، تم الكشف أيضًا عن عائلة ثانية من البرامج الضارة باسم FakeTrade. وقد تم تحديد 31 تطبيقًا احتياليًا تابعًا لهذه العائلة في متجر جوجل بلاي. تستهدف التطبيقات المستخدمين في ماليزيا وفيتنام وإندونيسيا والفلبين وأوغندا والمكسيك.
علمًا بأن جوجل قد أكدت أنها قامت بإزالة جميع تطبيقات البرامج الضارة التي تم الإبلاغ عنها من متجر جوجل بلاي، في محاولة للحد من تأثيرها السلبي على المستخدمين.
تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على Twitter ، أو أضف tech1new.com إلى موجز أخبار Google الخاص بك للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية
ليست هناك تعليقات:
إرسال تعليق