يقوم المخترقون بانتحال صفحات متجر جوجل بلاي لتعدين العملات المشفرة

يستهدف المخترقون ضحاياهم عبر أسلوب تصيد احتيالي جديد. ووفقًا لمنشور من SecureList، يستخدم المخترقون صفحات مزيفة لمتجر جوجل بلاي لنشر حملة برمجيات خبيثة تستهدف أجهزة أندرويد في البرازيل.

يبدو التطبيق الضار وكأنه تطبيق شرعي، لكن بمجرد تثبيته، يحوّل الهواتف المصابة إلى أجهزة تعدين عملات رقمية. علاوة على ذلك، يُستخدم لتثبيت برامج خبيثة مصرفية ومنح جهات خبيثة إمكانية الوصول عن بُعد.

قراصنة يحولون الهواتف الذكية البرازيلية إلى آلات تعدين العملات المشفرة

تبدأ الحملة على موقع إلكتروني للتصيد الاحتيالي يُشبه إلى حدdentمتجر جوجل بلاي. تعرض إحدى صفحاته تطبيقًا مزيفًا يُدعى INSS Reembolso، ويدّعي ارتباطه بخدمة الضمان الاجتماعي البرازيلية. يُقلّد تصميم تجربة المستخدم وواجهة المستخدم خدمة حكومية موثوقة، بالإضافة إلى تصميم متجر جوجل بلاي، لجعل عملية التنزيل تبدو آمنة.

بعد تثبيت التطبيق المزيف، يقوم البرنامج الخبيث بفك تشفير التعليمات البرمجية المخفية على مراحل متعددة. يستخدم مكونات مشفرة ويحمل التعليمات البرمجية الخبيثة الرئيسية مباشرةً إلى الذاكرة. لا توجد ملفات ظاهرة على الجهاز، مما يصعب على المستخدمين اكتشاف أي نشاط مشبوه.

هذا البرنامج الخبيث تحليل باحثي الأمن. فهو يتحقق مما إذا كان الهاتف يعمل في بيئة محاكاة، وإذا اكتشف ذلك، يتوقف عن العمل.

بعد التثبيت الناجح، يستمر البرنامج الخبيث في تنزيل المزيد من الملفات الضارة. ثم يعرض شاشة مزيفة أخرى تشبه شاشة متجر جوجل بلاي، ثم يعرض مطالبة تحديث وهمية ويحث المستخدم على النقر على زر التحديث.

أحد هذه الملفات هو برنامج تعدين العملات الرقمية، وهو نسخة من برنامج XMRig مُصممة لأجهزة ARM. يقوم البرنامج الخبيث بجلب حمولة التعدين من بنية تحتية يتحكم بها المهاجمون، ثم يفك تشفيرها ويشغلها على الهاتف. تربط هذه الحمولة الأجهزة المصابة بخوادم التعدين التي يتحكم بها المهاجمون لتعدين العملات الرقمية سرًا في الخلفية.

هذا البرنامج الخبيث متطور ولا يقوم بتعدين العملات الرقمية بشكل عشوائي. وفقًا لتحليل SecureList، يراقب البرنامج نسبة شحن البطارية، ودرجة الحرارة، ومدة تثبيته، وما إذا كان الهاتف قيد الاستخدام. ويبدأ التعدين أو يتوقف بناءً على البيانات التي يراقبها. والهدف هو التخفي وتقليل فرص اكتشافه.

يقوم نظام أندرويد بإغلاق التطبيقات التي تعمل في الخلفية لتوفير الطاقة، لكن البرمجية الخبيثة تتحايل على ذلك عن طريق تشغيل ملف صوتي صامت تقريبًا بشكل متكرر. وتتظاهر هذه البرمجية باستخدام التطبيق بشكل نشط لتجنب الإيقاف التلقائي من قِبل نظام أندرويد.

لمواصلة إرسال الأوامر، يستخدم البرنامج الخبيث خدمة Firebase Cloud Messaging، وهي خدمة شرعية تابعة لشركة جوجل. وهذا يُسهّل على المهاجمين إرسال تعليمات جديدة وإدارة النشاط على الجهاز المصاب.

يستهدف برنامج تجسس مصرفي تحويلات عملة USDT

لا يقتصر عمل هذا البرنامج الخبيث على تعدين العملات الرقمية فحسب، بل تقوم بعض إصداراته أيضاً بتثبيت حصان طروادة مصرفي يستهدف منصتي Binance وTrust Wallet، خاصةً أثناء تحويلات USDT. يقوم هذا البرنامج بتركيب شاشات مزيفة فوق التطبيقات الأصلية، ثم يستبدل عنوان المحفظة بآخر يتحكم به المهاجم.

كما تراقب وحدة الخدمات المصرفية متصفحات الإنترنت مثل كروم وبرايف، وتدعم مجموعة واسعة من الأوامر عن بُعد. وتشمل هذه الأوامر تسجيل الصوت، والتقاط صور للشاشة، وإرسال الرسائل النصية القصيرة، وقفل الجهاز، ومسح البيانات، وتسجيل ضغطات المفاتيح.

تستخدم عينات أخرى حديثة نفس أسلوب توزيع التطبيقات المزيفة، لكنها تستخدم حمولة مختلفة. فهي تقوم بتثبيت برنامج BTMOB RAT، وهو أداة للتحكم عن بُعد تُباع في الأسواق السوداء.

يُعدّ برنامج BTMOB جزءًا من منظومة البرمجيات الخبيثة كخدمة (MaaS). يمكن للمهاجمين شراؤه أو استئجاره، مما يُسهّل اختراقه وسرقة بيانات المستخدمين. يمنح هذا البرنامج المهاجمين صلاحيات وصول أوسع، تشمل تسجيل الشاشة، والوصول إلى الكاميرا، وتتبع tracالمواقع العالمي (GPS)، وسرقة بياناتdent.

يتم الترويج لبرنامج BTMOB الخبيث بنشاط عبر الإنترنت. وقد شارك أحد المهاجمين عروضًا توضيحية للبرنامج على يوتيوب، موضحًا كيفية التحكم في الأجهزة المصابة. تتم عمليات البيع والدعم عبر حساب على تيليجرام.

أفادت شركة SecureList بأن جميع الضحايا المعروفين موجودون في البرازيل. كما تنتشر بعض النسخ الأحدث عبر تطبيق واتساب وصفحات التصيد الاحتيالي.

إن حملات القرصنة المتطورة كهذه بمثابة تذكير بضرورة التحقق من كل شيء وعدم الثقة بأي شيء.