تتعرض أجهزة Android في أوزبكستان لهجمات متزايدة من برمجيات خبيثة تسرق الرسائل النصية القصيرة، مما يشكل تهديدًا خطيرًا للمستخدمين.
يتعرض مستخدمو الهواتف الذكية في أوزبكستان لهجمات من برمجيات خبيثة تسرق الرسائل النصية القصيرة، وهي ممارسة مستمرة منذ فترة طويلة.
وفقًا لأبحاث شركة Group-IB للأمن السيبراني، فقد شهد الباحثون موجة جديدة من الهجمات التي تستهدف المستخدمين في أوزبكستان، بدأت في أكتوبر. تتضمن هذه الموجة عدة مجموعات تهديد، بما في ذلك TrickyWonders وBlazefang وAjina.
تُستخدم البرمجيات الخبيثة لسرقة الأموال والبيانات المرتبطة بالهاتف المصاب، وتوزع كملف APK يُعرض كبرنامج آمن ليتم تحميله أو إرساله عبر تطبيق Telegram. في الحالة الأخيرة، بمجرد أن يحصل المهاجم على الوصول إلى جهاز Android ورقم هاتف الهدف، يحاول المهاجم تسجيل الدخول إلى حساب Telegram الخاص بالضحية وخداع المستخدمين في قائمة جهات الاتصال لتثبيت (وبالتالي نشر) البرمجيات الخبيثة بشكل أكبر.
تعتبر الطرق المعتمدة على Telegram شائعة جدًا بين المهاجمين، لأن Telegram هو المنصة المهيمنة للتراسل الفوري في أوزبكستان، وفقًا لـ Group-IB.
تمت ملاحظة استخدام المهاجمين لبرمجيات سرقة الرسائل النصية Wonderland، وMalware MidnightDat، وRoundRift، وAjina.Banker، وQwizzserial.
كما يتضح من خلال هذه البرمجيات الخبيثة وأمثلة أخرى حديثة، فإن نظام التهديدات على Android نشط تمامًا، مليء بالمهاجمين الذين يسعون لاستخدام الهندسة الاجتماعية وملفات APK الخطيرة لتحقيق مكاسب سريعة.
داخل حملات البرمجيات الخبيثة على Android
على الرغم من أن المهاجمين استخدموا أدوات مختلفة، إلا أن الأنماط العامة كانت متشابهة. استخدم المهاجمون وصول Telegram المسروق لخداع المستخدمين الآخرين لتثبيت تطبيقات Android الخبيثة. تسرق هذه التطبيقات تفاصيل الحسابات البنكية وتستخدم لنشر الهجوم بشكل أكبر.
كما أشار فريق البحث في Group-IB، فإن سرقة الرسائل النصية مثل Wonderland تعتبر خطيرة بشكل خاص لأنها تبقى هادئة في بيئة الضحية.
“بمجرد تثبيت البرمجيات الخبيثة، يمكنها سحب الأموال بشكل متكرر من بطاقات الضحية حتى يفقد المهاجم الوصول إلى الجهاز”، وفقًا للتقرير. “يمكن أن تتنكر البرمجيات الخبيثة كبرامج شرعية، مثل Google Play أو تظهر كتطبيق مخصص يفتح موقعًا محددًا على الفور. بعد الحصول على الأذونات اللازمة، يمكنها أيضًا عرض نافذة ‘إلغاء التثبيت’ الخادعة التي تخدع المستخدمين للاعتقاد بأن التطبيق يتم إزالته.”
استمرت الهجمات من هذا النوع لعدة سنوات، على الرغم من أن Group-IB شهدت في الموجة الأخيرة زيادة كبيرة في عدد الإصابات، والتي تعزوها إلى تحسينات كبيرة في كل من أساليب التوزيع والتعتيم.
كيف يمكن لمتخصصي الأمن السيبراني حماية أنفسهم
سلط تقرير Group-IB الضوء أيضًا على المعدل السريع الذي يتكيف به المهاجمون مع الدفاعات.
“تظهر الموجة الجديدة من تطوير البرمجيات الخبيثة في المنطقة بوضوح أن طرق اختراق أجهزة Android لا تصبح أكثر تعقيدًا فحسب، بل تتطور بسرعة”، قال الباحثون. “يقوم المهاجمون بتكييف أدواتهم بنشاط، وتنفيذ أساليب جديدة للتوزيع، وإخفاء النشاط، والحفاظ على السيطرة على الأجهزة المصابة.”
للمؤسسات، أوصت Group-IB باستخدام أدوات مراقبة جلسات المستخدمين وخدمات استخبارات التهديدات لاكتشاف الإصابات والنشاط غير المعتاد قبل سرقة الأموال. بالنسبة للأفراد، نصح المحللون بالانتباه إلى الإشعارات داخل تطبيقات المالية الخاصة بهم، وعدم تخزين تفاصيل الحسابات البنكية في نص عادي أو في تطبيقات المراسلة، و”إذا كنت تشك في أن جهازك مصاب، يُوصى بفصل الاتصال بالإنترنت وإعادة ضبطه إلى إعدادات المصنع.”
من الضروري أن يكون المستخدمون على دراية بالتهديدات المتزايدة وأن يتخذوا خطوات لحماية بياناتهم وأموالهم من هذه الهجمات.
