تكشف برمجية بيرسيوس للأندرويد عن موجة احتيال مصرفي جديدة تستغل تطبيقات الملاحظات والتنكر كخدمات IPTV لسرقة البيانات المالية بذكاء.
ما هي برمجية بيرسيوس للأندرويد وكيف تعمل؟
كشفت تحليلات أمنية عن عائلة خبيثة جديدة تستهدف أجهزة أندرويد باسم Perseus، مع تركيز على الاستيلاء الكامل على الجهاز والاحتيال المالي. ووفق تيكبامين، تعتمد الحملة على تطبيقات إسقاط يتم تنزيلها من صفحات تصيد.
سيطرة كاملة عبر إمكانية الوصول
تعتمد البرمجية على جلسات تحكم عن بُعد عبر خدمات إمكانية الوصول، ما يمنح المهاجمين مراقبة فورية وتفاعلاً دقيقاً مع الشاشة. هذا الأسلوب يجعلها قادرة على تجاوز الكثير من إجراءات الحماية التقليدية.
- تنفيذ النقرات والتمرير كما لو كان المستخدم الحقيقي.
- التقاط ضغطات المفاتيح أثناء إدخال البيانات.
- التحكم في الرسائل النصية لسرقة رموز التحقق.
- إخفاء أيقونة التطبيق والعمل في الخلفية.
هذا النمط يسمح بتنفيذ عمليات احتيال لحظية أثناء استخدام التطبيقات المصرفية، كما يسهّل الاستيلاء على الجهاز دون ملاحظة المستخدم.
جذور Cerberus وPhoenix
ظهرت Cerberus لأول مرة عام 2019 كبرمجية مصرفية تستغل خدمات الوصول لطلب أذونات إضافية وفرض شاشات تراكبية. وبعد تسريب الشيفرة المصدرية في 2020، ظهرت سلالات متعددة تعيد تدوير بنيتها.
- Alien
- ERMAC
- Phoenix
لماذا تراقب بيرسيوس تطبيقات الملاحظات؟
مراقبة تطبيقات الملاحظات تكشف تغيراً في أولويات المهاجمين، إذ قد تحتوي هذه التطبيقات على كلمات مرور وأرقام بطاقات أو عبارات استعادة المحافظ. لذلك فإن استهدافها يمنح المعلومات المالية قيمة أعلى من مجرد بيانات دخول سريعة.
مؤشرات التطور التقني في الشيفرة
توسعت Perseus على قاعدة Phoenix مع مؤشرات على استخدام نماذج لغوية للمساعدة في التطوير، مثل وجود سجلات تشغيل مفصلة داخل التطبيق ورموز تعبيرية في الشيفرة. هذا يسرّع تحديث الوظائف ويجعلها أكثر مرونة أمام أنظمة الحماية.
- سجلات تفصيلية لتتبع الأوامر داخل الجهاز.
- تقسيم وحدات البرمجية بطريقة قابلة للتبديل السريع.
- استخدام رموز تعبيرية في أسماء بعض الوظائف.
كيف تنتشر عبر تطبيقات IPTV المزيفة؟
تتنكر الحملة في صورة تطبيقات IPTV لجذب المستخدمين الذين يقومون بالتثبيت اليدوي لمشاهدة محتوى مدفوع، ما يخفض الشكوك ويرفع نسب الإصابة. وتصل البرمجية عادة عبر صفحات تصيد تحمل واجهات تحميل مألوفة.
- تركيا
- إيطاليا
- بولندا
- ألمانيا
- فرنسا
- الإمارات
- البرتغال
وتم رصد تركيز ملحوظ على تركيا وإيطاليا مع توسع الحملة إلى عدة أسواق أوروبية وخليجية، مستغلة نموذج التوزيع غير الرسمي لتطبيقات البث.
ما المخاطر على الحسابات المصرفية وكيف تحمي نفسك؟
بعد التثبيت، تعمل البرمجية مثل أحصنة طروادة المصرفية عبر هجمات التراكب وقراءة المدخلات لحظياً. كما تعرض واجهات مزيفة فوق تطبيقات البنوك وخدمات العملات الرقمية لسرقة بيانات الدخول.
- إنشاء طبقات مزيفة فوق تطبيقات مالية معروفة.
- التقاط ضغطات المفاتيح وسحب النصوص المعبأة.
- تحويل الرسائل للتحكم في التحقق الثنائي.
نصائح الحماية الفورية
- تجنب تثبيت تطبيقات IPTV من خارج المتاجر الرسمية.
- مراجعة أذونات إمكانية الوصول وإلغاؤها للتطبيقات غير الموثوقة.
- تحديث أندرويد والتطبيقات المصرفية أولاً بأول.
- تفعيل المصادقة المتعددة وتقييد الرسائل الحساسة.
- عدم حفظ كلمات المرور أو الرموز المالية في الملاحظات.
وفقاً لمتابعة تيكبامين، فإن برمجية بيرسيوس للأندرويد تستفيد من سلوك التثبيت اليدوي لتوسيع انتشارها، ما يجعل الوعي بالأذونات خطوة أساسية. الحفاظ على عادات أمان بسيطة يقلل فرص الوقوع في الاحتيال المالي.
