كشف باحثو الأمن السيبراني عن نسخة جديدة من حصان طروادة البنكي HOOK على نظام Android، تتضمن شاشات فدية (Ransomware-style overlays) لإجبار الضحايا على دفع مبالغ مالية.
-
عند تلقي أمر “ransome” من خادم التحكم (C2)، يتم عرض شاشة تحذيرية بكامل الشاشة تتضمن رسالة تهديد وعنوان محفظة للدفع والمبلغ المطلوب.
-
يمكن للمهاجمين إزالة هذه الشاشة عبر أمر “delete_ransome”.
يُعتقد أن HOOK انبثق من حصان طروادة البنكي ERMAC، الذي تسرب كوده المصدري سابقًا على الإنترنت.
قدرات HOOK الجديدة
إلى جانب تقليده لشاشات التطبيقات البنكية لسرقة بيانات الاعتماد، فإن النسخة الأحدث تدعم 107 أوامر عن بُعد، بينها 38 أمرًا جديدًا، منها:
-
ransome: إظهار شاشة فدية.
-
delete_ransome: إزالة شاشة الفدية.
-
takenfc: شاشة NFC مزيفة لسرقة بيانات البطاقات.
-
unlock_pin: شاشة قفل مزيفة لسرقة رمز PIN أو النمط.
-
takencard: شاشة مزيفة لجمع بيانات بطاقات الائتمان تحاكي Google Pay.
-
start_record_gesture: تسجيل إيماءات المستخدم عبر طبقة شفافة.
كما يمتلك HOOK القدرة على:
-
إرسال رسائل SMS.
-
بث شاشة الضحية مباشرًا.
-
التقاط صور بالكاميرا الأمامية.
-
سرقة بيانات الاسترجاع لمحافظ العملات الرقمية.
يتم توزيع HOOK على نطاق واسع عبر مواقع تصيّد ومستودعات GitHub مزيفة، مثلما حدث مع عائلات برمجيات خبيثة أخرى مثل ERMAC وBrokewell.
تهديد متزايد يجمع بين الفدية والتجسس
أوضحت شركة Zimperium أن التطور الجديد يظهر كيف تندمج قدرات أحصنة طروادة البنكية مع أساليب برامج التجسس والفدية، مما يجعلها تهديدًا متناميًا للمؤسسات المالية والمستخدمين على حد سواء.
استمرار تطور Anatsa
بالتوازي، كشفت Zscaler ThreatLabs عن نسخة مطورة من حصان طروادة Anatsa، الذي توسع ليستهدف أكثر من 831 تطبيقًا ماليًا وتطبيقا للعملات المشفرة عالميًا (ارتفاعًا من 650 سابقًا).
-
يستخدم Anatsa تطبيقات مزيفة، مثل تطبيق مدير ملفات مزيف (com.synexa.fileops.fileedge_organizerviewer) كـ Dropper لنشر البرمجية.
-
يعتمد على أرشيفات تالفة لإخفاء حمولة DEX الخبيثة التي تُنشر أثناء التشغيل.
-
يطلب صلاحيات خدمات إمكانية الوصول (Accessibility Services)، ثم يستغلها للحصول على أذونات إضافية لإرسال/استقبال الرسائل وإظهار نوافذ مزيفة فوق التطبيقات.
انتشار واسع عبر متجر Google Play
أشارت الشركة إلى اكتشاف 77 تطبيقًا خبيثًا في متجر Google Play من عائلات مثل:
-
Anatsa
-
Joker
-
Harly
وهي مسؤولة عن أكثر من 19 مليون عملية تثبيت.
Harly، وهو متغير من Joker، تم رصده لأول مرة عام 2022. وفي مارس 2025، كشفت شركة Human Security عن 95 تطبيقًا خبيثًا جديدًا يحتوي على Harly داخل متجر Google Play.
خلاصة
-
HOOK يتطور بسرعة ليصبح تهديدًا متعدد الأبعاد يجمع بين سرقة البيانات المالية والفدية والتجسس.
-
Anatsa يوسع نطاق استهدافه ليشمل مئات التطبيقات المالية عالميًا، مع أساليب جديدة لتفادي التحليل والكشف.
