يستهدف ممثل التهديد عملاء 450 بنكًا وخدمات العملات المشفرة في جميع أنحاء العالم باستخدام حصان طروادة Android خطير يحتوي على ميزات متعددة لاختطاف الحسابات عبر الإنترنت وربما سرقة الأموال منها.
قام مؤلفو ما يسمى بـ "Nexus" Android Trojan بإتاحة البرامج الضارة لممثلي التهديد الآخرين عبر برنامج تم الإعلان عنه مؤخرًا للبرامج الضارة كخدمة (MaaS) حيث يمكن للأفراد والمجموعات استئجار البرامج الضارة أو الاشتراك فيها واستخدامها في هجماتهم.
اكتشف الباحثون في شركة الأمن السيبراني الإيطالية Cleafy لأول مرة Nexus في يونيو 2022 ، ولكن في ذلك الوقت قاموا بتقييمه على أنه متغير سريع التطور من حصان طروادة مصرفي آخر على Android كانوا يتتبعونه باسم "Sova". احتوت البرامج الضارة على عدة أجزاء من كود Sova ولديها قدرات في ذلك الوقت لاستهداف أكثر من 200 من الخدمات المصرفية عبر الهاتف المحمول والعملات المشفرة والتطبيقات المالية الأخرى. لاحظ باحثو Cleafy ما افترضوا أنه متغير Sova المخفي في التطبيقات المزيفة ذات الشعارات التي تشير إلى أنها Amazon و Chrome و NFT وتطبيقات أخرى موثوقة.
واحد من عدة
Nexus هو واحد من العديد من برامج أحصنة طروادة المصرفية التي تعمل بنظام Android التي ظهرت على السطح خلال الأشهر القليلة الماضية وأضفت إلى العدد الكبير بالفعل من الأدوات المماثلة الموجودة حاليًا في البرية. في وقت سابق من هذا الشهر ، على سبيل المثال ، أفاد باحثون من Cyble بالمراقبة برامج ضارة جديدة على نظام Android يطلق عليها اسم GoatRAT تستهدف نظام الدفع الآلي للجوال الذي تم طرحه مؤخرًا في البرازيل. في كانون الأول (ديسمبر) 2022 ، اكتشف Cyble حصان طروادة مصرفي آخر يعمل بنظام Android ، تم تتبعه على أنه "الأب الروحي" ، ويعود إلى الظهور بعد فترة توقف مع ميزات جديدة متطورة للتشويش ومكافحة الكشف. وجد باحثو الإنترنت أن البرامج الضارة تتنكر على أنها برامج ضارة مشروعة على متجر Google Play. إن نوعي البرامج الضارة هما بالكاد مجرد غيض من فيض. أظهر تحليل كاسبرسكي أن حوالي 200,000 ألف حصان طروادة مصرفي جديد ظهر على السطح في عام 2022 ، وهو ما يمثل a 100٪ زيادة عن عام 2021.
يقول Federico Valentini ، رئيس فريق استخبارات التهديدات في Cleafy ، إنه من غير الواضح كيف يقدم ممثلو التهديد Nexus على أجهزة Android. يقول فالنتيني: "لم نتمكن من الوصول إلى تفاصيل محددة حول ناقل العدوى الأولي لـ Nexus ، حيث ركز بحثنا بشكل أساسي على تحليل سلوكه وقدراته". "ومع ذلك ، استنادًا إلى خبرتنا ومعرفتنا ببرامج ضارة مماثلة ، فمن الشائع أن يتم تسليم أحصنة طروادة المصرفية من خلال مخططات الهندسة الاجتماعية مثل الرسائل النصية القصيرة" ، كما يقول ، مشيرًا إلى التصيد الاحتيالي عبر الرسائل النصية القصيرة.
في كانون الثاني (يناير) 2023 ، اكتشف باحثو Cleafy البرامج الضارة - التي أصبحت الآن أكثر تطورًا - تظهر على منتديات القرصنة المتعددة تحت اسم Nexus. بعد ذلك بوقت قصير ، بدأ مؤلفو البرامج الضارة في إتاحة البرامج الضارة لممثلي التهديد الآخرين عبر برنامج MaaS الجديد مقابل 3,000 دولار شهريًا نسبيًا.
ميزات متعددة للاستيلاء على الحساب
أظهر تحليل Cleafy لـ Nexus أن البرامج الضارة تحتوي على العديد من الميزات لتمكين الاستيلاء على الحساب. من بينها وظيفة لتنفيذ هجمات التراكب وتسجيل ضغطات المفاتيح لسرقة بيانات اعتماد المستخدم. عندما يحاول أحد عملاء تطبيق مصرفي أو تطبيق عملة مشفرة ، على سبيل المثال ، الوصول إلى حسابه باستخدام جهاز Android تم اختراقه ، يقدم Nexus صفحة تبدو وتعمل تمامًا مثل صفحة تسجيل الدخول للتطبيق الحقيقي. ثم يستخدم البرنامج الضار ميزة تسجيل المفاتيح الخاصة به للاستيلاء على بيانات اعتماد الضحية كما تم إدخالها في صفحة تسجيل الدخول.
مثل العديد من برامج أحصنة طروادة المصرفية ، يمكن لـ Nexus اعتراض رسائل SMS للحصول على رموز المصادقة الثنائية للوصول إلى الحسابات عبر الإنترنت. وجد Cleafy أن Nexus قادر على إساءة استخدام ميزة خدمات إمكانية الوصول في Android لسرقة البذور والمعلومات المتوازنة من محافظ العملات المشفرة وملفات تعريف الارتباط من مواقع الويب ذات الأهمية والرموز الثنائية لتطبيق Google Authenticator.
يبدو أيضًا أن مؤلفي البرامج الضارة قد أضافوا وظائف جديدة إلى Nexus لم تكن موجودة في الإصدار الذي لاحظه Cleafy العام الماضي وافترض في البداية أنه أحد أشكال Sova. إحداها هي ميزة تحذف بهدوء رسائل المصادقة ثنائية العاملين في الرسائل القصيرة المستلمة والآخر هو وظيفة لإيقاف أو تنشيط الوحدة النمطية لسرقة رموز Google Authenticator 2FA. يحتوي أحدث إصدار من Nexus أيضًا على وظيفة للتحقق بشكل دوري من خادم الأوامر والتحكم (C2) الخاص به بحثًا عن التحديثات وللتثبيت التلقائي لأي منها قد يصبح متاحًا. تشير الوحدة النمطية التي يبدو أنها لا تزال قيد التطوير إلى أن المؤلفين قد ينفذون قدرة تشفير في البرامج الضارة التي من المرجح أن تقوم بتشويش مساراتها بعد الانتهاء من الاستيلاء على الحساب.
التقدم في العمل؟
يقول فالنتيني إن أبحاث Cleafy تشير إلى أن Nexus قد تسبب في اختراق مئات الأنظمة. "الأمر الجدير بالملاحظة بشكل خاص هو أن الضحايا لا يتركزون على ما يبدو في منطقة جغرافية معينة ولكنهم موزعون جيدًا على مستوى العالم".
على الرغم من الوظائف العديدة للبرامج الضارة لتولي الحسابات المالية عبر الإنترنت ، قام باحثو Cleafy بتقييم Nexus على أنه لا يزال قيد التنفيذ. أحد المؤشرات ، وفقًا لمورد الأمان ، هو وجود سلاسل تصحيح الأخطاء ونقص مراجع الاستخدام في وحدات معينة من البرامج الضارة. ومن الهبات الأخرى العدد الكبير نسبيًا من رسائل التسجيل في الشفرة التي تشير إلى أن المؤلفين لا يزالون في طور التعقب والإبلاغ عن جميع الإجراءات التي تنفذها البرامج الضارة ، على حد قول كليفي.
والجدير بالذكر أن البرنامج الضار في صورته الرمزية الحالية لا يتضمن وحدة حوسبة الشبكة الافتراضية ، أو VNC ، التي من شأنها أن تمنح المهاجم طريقة للتحكم الكامل عن بعد في جهاز مصاب بفيروس Nexus. "تسمح وحدة VNC للجهات الفاعلة بالتهديد بالقيام بالاحتيال على الجهاز ، وهو أحد أخطر أنواع الاحتيال منذ بدء تحويل الأموال من نفس الجهاز الذي يستخدمه الضحايا يوميًا."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/mobile/new-android-malware-targets-customers-of-450-financial-institutions-worldwide
