تنتشر حاليًا أحد أشكال البرامج الضارة التي تم اكتشافها مؤخرًا لنظام أندرويد، والتي يمكن أن اشكل خطورة كبيرة على المستخدمين، بسبب قدرته على استخراج الأموال بشكل غير قانوني من العديد من التطبيقات المصرفية.
وفي منشور عبر مدونة، أكد باحثو الأمن السيبراني Group-IB أنه تم اكتشاف فيروس خطير يحمل الاسم “حصان طروادة” لأجهزة أندرويد هذا الشهر أغسطس / آب.
وتستهدف البرامج الضارة حاليًا المؤسسات المالية في فيتنام. وأشارت شركة الأبحاث الأمنية أيضًا إلى أنها أبلغت العملاء في فيتنام وخارجها بالنتائج التي توصلت إليها.
وعلاوة على ذلك، قامت شركة الأمن السيبراني أيضًا بمشاركة بياناتها مع VNCERT (فريق الاستجابة لطوارئ الكمبيوتر في فيتنام).
كيف يمكن أن يؤثر حصان طروادة هذا على المستخدمين؟
كان حصان طروادة GoldDigger Android نشطًا منذ يونيو 2023، حسبما تدعي Group-IB، حيث تتنكر البرامج الضارة على أنها تطبيق أندرويد مزيف ويمكنها انتحال شخصية بوابة حكومية فيتنامية وشركة طاقة محلية.
والهدف الرئيسي من خطأ أندرويد هو سرقة بيانات الاعتماد المصرفية. تمامًا مثل العديد من أحصنة طروادة الأخرى التي تعمل بنظام أندرويد، تسيء البرامج الضارة خدمة الوصول لاستخراج المعلومات الشخصية واعتراض الرسائل النصية القصيرة وتنفيذ إجراءات المستخدم المختلفة. لدى GoldDigger أيضًا إمكانية الوصول عن بعد.
كيف تظل البرامج الضارة غير قابلة للاكتشاف؟
إحدى الميزات الرئيسية لبرنامج GoldDigger هي استخدامه لآلية الحماية المتقدمة، حيث تم التعرف على برنامج Virbox Protector، وهو برنامج شرعي، في جميع عينات GoldDigger المكتشفة.
ويسمح هذا البرنامج لحصان طروادة بتعقيد تحليل البرامج الضارة الثابتة والديناميكية بشكل كبير وتجنب الكشف. يمثل هذا تحديًا في إثارة نشاط ضار في صناديق الحماية أو المحاكيات.
ويعد استخدام VirBox من قبل أحصنة طروادة المصرفية اتجاهًا حديثًا، وفقًا لفريق استخبارات التهديدات التابع لـ Group-IB، فإن ثلاثة أحصنة طروادة تعمل بنظام أندرويد تنشط حاليًا في منطقة آسيا والمحيط الهادئ، بما في ذلك GoldDigger، تستخدم تقنية التهرب.
واكتشف الباحثون أن حصان طروادة GoldDigger يستخدم تطبيقات مزيفة باللغة الفيتنامية لمهاجمة ضحاياه.
ويتضمن حصان طروادة أيضًا ترجمات لغوية للإسبانية والصينية التقليدية، ما يوضح أن هذه الهجمات قد تمتد إلى ما هو أبعد من فيتنام، لتشمل الدول الناطقة بالإسبانية ودول أخرى في منطقة آسيا والمحيط الهادئ.
ويشير التقرير إلى أن GoldDigger ينتشر عبر مواقع الويب المزيفة المتخفية في شكل صفحات Google Play ومواقع الشركات المزيفة في فيتنام.
ومن المحتمل أن يقوم مشغلو حصان طروادة بتوزيع الروابط إلى مواقع الويب هذه عبر التصيد الاحتيالي أو طرق التصيد التقليدية.
وتتضمن مواقع الويب هذه روابط تؤدي إلى تنزيل تطبيقات أندرويد الضارة، ومع ذلك تحتاج البرامج الضارة إلى تمكين وظيفة “التثبيت من مصادر غير معروفة” على جهاز الضحية ليتم تنزيلها وتثبيتها.
