يمكن الآن لفيروس TrickMo Banking Trojan التقاط أرقام التعريف الشخصية لنظام Android وإلغاء قفل الأنماط

15 أكتوبر 2024رافي لاكشمانانأمن الهاتف المحمول / الاحتيال المالي

تم العثور على متغيرات جديدة من طروادة المصرفية التي تعمل بنظام Android والتي تسمى TrickMo، والتي تحتوي على ميزات غير موثقة سابقًا لسرقة نمط إلغاء القفل أو رقم التعريف الشخصي للجهاز.

“هذه الإضافة الجديدة تمكن جهة التهديد من العمل على الجهاز حتى أثناء قفله،” قال الباحث الأمني ​​في Zimperium، عظيم ياسوانت. قال في تحليل نشر الأسبوع الماضي.

تم اكتشاف TrickMo لأول مرة في عام 2019، وتم تسميتها بهذا الاسم لارتباطاتها بمجموعة TrickBot للجرائم الإلكترونية، وهي قادرة على منح التحكم عن بعد في الأجهزة المصابة، بالإضافة إلى سرقة كلمات المرور لمرة واحدة (OTPs) المستندة إلى الرسائل القصيرة وعرض شاشات متراكبة لـ التقاط بيانات الاعتماد عن طريق إساءة استخدام خدمات إمكانية الوصول في Android.

وفي الشهر الماضي، كشفت شركة الأمن السيبراني الإيطالية Cleafy عن إصدارات محدثة من البرمجيات الخبيثة المحمولة مع آليات محسنة للتهرب من التحليل ومنح نفسها أذونات إضافية لتنفيذ إجراءات ضارة مختلفة على الجهاز، بما في ذلك تنفيذ معاملات غير مصرح بها.

بعض من المتغيرات الجديدة تم أيضًا تجهيز البرامج الضارة للحصول على نمط إلغاء قفل الجهاز أو رمز PIN من خلال تقديم واجهة مستخدم خادعة (UI) للضحية تحاكي شاشة إلغاء القفل الفعلية للجهاز.

واجهة المستخدم عبارة عن صفحة HTML تتم استضافتها على موقع ويب خارجي ويتم عرضها في وضع ملء الشاشة، مما يعطي الانطباع بأنها شاشة إلغاء قفل شرعية.

في حالة قيام المستخدمين المطمئنين بإدخال نمط إلغاء القفل أو رقم التعريف الشخصي (PIN) الخاص بهم، يتم نقل المعلومات، جنبًا إلى جنب مع معرف الجهاز الفريد، إلى خادم يتحكم فيه المهاجم (“android.ipgeo[.]في“) على شكل بوست HTTP طلب.

وقال Zimperium إن الافتقار إلى الحماية الأمنية الكافية لخوادم C2 جعل من الممكن الحصول على نظرة ثاقبة لأنواع البيانات المخزنة فيها. يتضمن ذلك ملفات تحتوي على ما يقرب من 13000 عنوان IP فريد، معظمها محدد موقعًا جغرافيًا في كندا والإمارات العربية المتحدة وتركيا وألمانيا.

وقال ياسوانت: “لا تقتصر بيانات الاعتماد المسروقة هذه على المعلومات المصرفية فحسب، بل تشمل أيضًا تلك المستخدمة للوصول إلى موارد الشركة مثل شبكات VPN والمواقع الداخلية”. “وهذا يؤكد الأهمية الحاسمة لحماية الأجهزة المحمولة، لأنها يمكن أن تكون بمثابة نقطة دخول أساسية للهجمات الإلكترونية على المنظمات.”

جانب آخر ملحوظ هو الاستهداف الواسع النطاق لـ TrickMo، وجمع البيانات من التطبيقات التي تغطي فئات متعددة مثل الخدمات المصرفية والمؤسسات والوظائف والتوظيف والتجارة الإلكترونية والتجارة ووسائل التواصل الاجتماعي والبث المباشر والترفيه وVPN والحكومة والتعليم والاتصالات والرعاية الصحية. .

ويأتي هذا التطوير وسط ظهور حملة طروادة المصرفية الجديدة ErrorFather Android التي تستخدم نوعًا مختلفًا من Cerberus لإجراء عمليات احتيال مالي.

وقالت شركة سيمانتيك المملوكة لشركة برودكوم: “إن ظهور ErrorFather يسلط الضوء على الخطر المستمر للبرامج الضارة المعاد استخدامها، حيث يواصل مجرمو الإنترنت استغلال كود المصدر المسرب بعد سنوات من اكتشاف البرنامج الضار الأصلي Cerberus”. قال.

وفق بيانات من Zscaler ThreatLabz، شهدت الهجمات المحمولة ذات الدوافع المالية والتي تنطوي على برامج ضارة مصرفية قفزة بنسبة 29٪ خلال الفترة من يونيو 2023 إلى أبريل 2024، مقارنة بالعام السابق.

وجاءت الهند كهدف رئيسي لهجمات الهواتف المحمولة خلال الإطار الزمني، حيث شهدت 28% من جميع الهجمات، تليها الولايات المتحدة وكندا وجنوب أفريقيا وهولندا والمكسيك والبرازيل ونيجيريا وسنغافورة والفلبين.