برمجيات ضارة تستهدف تطبيقات مصرفية عالمية عبر نظام "أندرويد"

كتب - عاصم الأنصاري:

كشفت شركة الأمن السيبراني Group-IB عن جيل جديد من برمجيات حصان طروادة الخبيثة للهواتف التي تعمل بنظام تشغيل "أندرويد" يسمى "جوستوف"، مصمم خصيصًا لسرقة الأصول المالية والرقمية من عملاء البنوك الدولية الكبرى ومنصات تبادل العملات الرقمية المشفرة.

وحصلت برمجية "جوستوف" خلال الفترة الماضية على عدة تحديثات، وأصبحت قوة لا يستهان بها من حيث الميزات وقدرات الاستهداف.

وانضمت برمجية حصان طروادة المصرفية لنظام "أندرويد" إلى صفوف التهديدات المماثلة، مثل Anubis و Red Alert و Exobot و LokiBot و BankBot.

ووفق ما ذكرت البوابة العربية للأخبار التقنية، بإمكان البرمجية الاحتيال على بيانات الاعتماد وأتمتة المعاملات المصرفية لأكثر من 100 تطبيق مصرفي عالمي و 32 تطبيق للعملات الرقمية، أبرزها بنك أمريكا وبنك اسكتلندا وويلز فارغو وجي بي مورجان وكابيتال وان وبنك تي دي وبنك بي إن سي، بالإضافة إلى تطبيقات العملات الرقمية مثل BitPay و Cryptopay و Coinbase و Bitcoin Wallet.

ويمكن للبرمجية أيضًا تصيد بيانات اعتماد العديد من تطبيقات الدفع على "أندرويد"، مثل باي بال وويسترن يونيون وإي باي ووول مارت وسكايب وواتساب و Gett Taxi و Revolut وغيرها.

وتعمل برمجية "جوستوف" مثل جميع برمجيات أحصنة طروادة المصرفية الأخرى الخاصة بنظام "أندرويد" الموجودة في السوق.

وتستخدم البرمجية الهندسة الاجتماعية لخداع المستخدمين من أجل منحها إمكانية الوصول إلى خدمة "Android Accessibility"، وهي ميزة مخصصة للمستخدمين ذوي الإعاقة وأداة قوية يمكنها أتمتة تفاعلات واجهة المستخدم المختلفة والنقر على عناصر الشاشة نيابة عن المستخدم.

وتلجأ معظم البرمجيات الخبيثة المصرفية لنظام "أندرويد" إلى استعمال هذه الخدمة لمنحها صلاحيات المدير وعرض صفحات تسجيل الدخول المزيفة أعلى التطبيقات الأخرى.

وتسيء برمجية "جوستوف" استخدام هذه الخدمة بشكل مختلف، وبطريقة أكثر تعقيدًا من جميع منافسيها، وتحذر Group-IB من أن برمجية "جوستوف" تأتي مع وظيفة مؤتمتة بالكامل فريدة من نوعها تهدف إلى الإصابات الجماعية وتحقيق أقصى ربح لمشغليها.

وتعد الميزة الفريدة للبرمجية هي أنها قادرة على أداء خدمة النقل التلقائي ATS، الخاصة بالخدمات المصرفية، بمساعدة خدمة إمكانية الوصول "Android Accessibility".

ويشير مصطلح ATS ضمن البرمجيات الضارة إلى قدرة حصان طروادة على إجراء معاملات من جهاز حاسب مستخدم مصاب، بدلاً من سرقة بيانات اعتماد حسابه ثم استخدام بيانات الاعتماد هذه لسرقة الأموال عبر أجهزة الحاسب والهواتف الذكية الأخرى.

وبفضل خدمة Android Accessibility، فإن برمجية "جوستوف" طبقت نظام ATS مباشرة على هاتف المستخدم، إذ يمكنها فتح التطبيقات وملء بيانات الاعتماد وتفاصيل المعاملات والموافقة على التحويلات المالية من تلقاء نفسها.

وتنتشر "جوستوف" إلى الأجهزة المحمولة الأخرى من خلال قراءة قائمة جهات الاتصال الخاصة بالهاتف المخترق وإرسال رسائل مع رابط لملف تثبيت APK الخاص بها.

وتمتلك برمجية "جوستوف" ميزات أخرى، مثل إمكانية إيقاف تشغيل ميزة أمان متجر "جوجل بلاي" ضد البرمجيات الضارة، إلى جانب إمكانية جمع البيانات من الأجهزة المصابة، مثل المستندات والصور ومقاطع الفيديو، والقدرة على إعادة ضبط الجهاز لإعدادات المصنع.