تم العثور على حملة برمجيات خبيثة على نظام Android يطلق عليها اسم MoneyMonger مخفية في تطبيقات إقراض الأموال التي تم تطويرها باستخدام Flutter. إنه رمز لموجة متصاعدة من ابتزاز مجرمي الإنترنت الذين يستهدفون المستهلكين - ومن المحتمل أن يشعر أصحاب العمل بالآثار أيضًا.
وفقًا لبحث أجراه فريق Zimperium zLabs ، تستخدم البرامج الضارة طبقات متعددة من الهندسة الاجتماعية للاستفادة من ضحاياها وتسمح للجهات الخبيثة بسرقة المعلومات الخاصة من الأجهزة الشخصية ، ثم استخدام تلك المعلومات لابتزاز الأفراد.
تم إنشاء برنامج MoneyMonger الضار ، الذي يتم توزيعه من خلال متاجر تطبيقات تابعة لجهات خارجية ويتم تحميله على أجهزة Android الخاصة بالضحايا ، من الألف إلى الياء ليكون ضارًا ، ويستهدف أولئك الذين يحتاجون إلى نقود سريعة ، وفقًا لباحثي Zimperium. إنها تستخدم طبقات متعددة من الهندسة الاجتماعية للاستفادة من ضحاياه ، بدءًا من مخطط قروض مفترس ووعد بأموال سريعة لأولئك الذين يتبعون بعض التعليمات البسيطة.
في عملية إعداد التطبيق ، يتم إخبار الضحية بأن الأذونات مطلوبة على نقطة نهاية الهاتف المحمول للتأكد من أنها في وضع جيد للحصول على قرض. تُستخدم هذه الأذونات بعد ذلك لجمع البيانات وسحبها ، بما في ذلك من قائمة جهات الاتصال وبيانات موقع GPS وقائمة التطبيقات المثبتة والتسجيلات الصوتية وسجلات المكالمات وقوائم الرسائل القصيرة وقوائم التخزين والملفات. كما أنه يكتسب الوصول إلى الكاميرا.
تُستخدم هذه المعلومات المسروقة لابتزاز الضحايا وتهديدهم لدفع أسعار فائدة مرتفعة للغاية. إذا فشلت الضحية في الدفع في الوقت المحدد ، وفي بعض الحالات حتى بعد سداد القرض ، تهدد الجهات الخبيثة بالكشف عن المعلومات ، والاتصال بأشخاص من قائمة جهات الاتصال ، وحتى إرسال الصور من الجهاز.
أحد الأشياء الجديدة والمثيرة للاهتمام حول هذا البرنامج الضار هو كيفية استخدامه لمجموعة أدوات تطوير برامج Flutter لإخفاء التعليمات البرمجية الضارة.
في حين أن مجموعة برامج واجهة المستخدم مفتوحة المصدر (UI) كانت Flutter بمثابة تغيير في اللعبة لمطوري التطبيقات ، فقد استفادت الجهات الفاعلة الخبيثة أيضًا من قدراتها وإطارها ، ونشر تطبيقات ذات مخاطر أمنية وخصوصية حرجة للضحايا المطمئنين.
في هذه الحالة ، يستفيد MoneyMonger من إطار عمل Flutter للتشويش على الميزات الضارة وتعقيد اكتشاف النشاط الضار عن طريق التحليل الثابت ، كما أوضح باحثو Zimperium في 15 كانون الأول (ديسمبر) على مدونة.
تنبع المخاطر التي تتعرض لها الشركات من مجموعة كبيرة من البيانات التي يتم جمعها
يقول ريتشارد ميليك ، مدير استخبارات تهديدات الهاتف المحمول في Zimperium ، لـ Dark Reading أن المستهلكين الذين يستخدمون تطبيقات إقراض الأموال هم الأكثر عرضة للخطر ، ولكن بحكم طبيعة هذا التهديد وكيف يسرق المهاجمون معلومات حساسة للابتزاز ، فهم أيضًا يضعون أصحاب عملهم أو أي منظمة الذين يعملون معهم في خطر أيضًا.
يقول: "من السهل جدًا على المهاجمين الذين يقفون وراء MoneyMonger سرقة المعلومات من البريد الإلكتروني للشركة ، أو الملفات التي تم تنزيلها ، أو رسائل البريد الإلكتروني الشخصية ، أو أرقام الهواتف ، أو تطبيقات المؤسسات الأخرى على الهاتف ، ويستخدمونها لابتزاز ضحاياهم".
يقول Melick إن MoneyMonger يمثل خطرًا على الأفراد والمؤسسات لأنه يجمع مجموعة واسعة من البيانات من جهاز الضحية ، بما في ذلك المواد ذات الصلة بالمؤسسات والمعلومات الخاصة التي يحتمل أن تكون حساسة.
يقول: "أي جهاز متصل ببيانات المؤسسة يشكل خطرًا على المؤسسة إذا وقع الموظف ضحية عملية احتيال قروض افتراضية من MoneyMonger على هذا الجهاز". "قد يضطر ضحايا هذا القرض الجائر إلى السرقة لدفع رسوم الابتزاز أو عدم الإبلاغ عن سرقة بيانات المؤسسة الهامة من قبل الجهات الخبيثة التي تقف وراء الحملة."
يقول Melick أن الأجهزة المحمولة الشخصية تمثل سطح هجوم كبير غير معالج للمؤسسات. ويشير إلى أن البرامج الضارة ضد الأجهزة المحمولة لا تزال أكثر تقدمًا ، وبدون وجود التتبع عن بعد للتهديد والدفاع الحرج للوقوف ضد هذه المجموعة الفرعية المتنامية من النشاط الضار ، فإن الشركات وموظفيها معرضون للخطر.
"بغض النظر عما إذا كانت مملوكة للشركة أو جزءًا من إستراتيجية BYOD ، فإن الحاجة إلى الأمان أمر بالغ الأهمية للبقاء في صدارة MoneyMonger والتهديدات المتقدمة الأخرى ،" كما يقول. "التعليم ليس سوى جزء من المفتاح هنا ويمكن للتكنولوجيا سد الثغرات ، وتقليل المخاطر والهجوم التي تقدمها MoneyMonger والتهديدات الأخرى."
من المهم أيضًا أن تتذكر تجنب تنزيل التطبيقات من متاجر التطبيقات غير الرسمية؛ توفر المتاجر الرسمية، مثل Google Play، وسائل حماية للمستخدمين، حسبما أكد متحدث باسم Google لـ Dark Reading.
وقال: "لا يوجد أي من التطبيقات الضارة التي تم تحديدها في التقرير على Google Play". "يقوم Google Play Protect بفحص أجهزة Android المزودة بخدمات Google Play بحثًا عن التطبيقات الضارة المحتملة من مصادر أخرى. سيحذر Google Play Protect المستخدمين الذين يحاولون تثبيت أو تشغيل التطبيقات التي تم تحديدها على أنها ضارة.
عودة ظهور أحصنة طروادة المصرفية
يتبع برنامج MoneyMonger الضار عودة ظهور ملفات Android Banking Trojan SOVA، والتي تحتوي الآن على إمكانات محدثة وإصدار إضافي قيد التطوير يحتوي على وحدة برامج الفدية.
عادت أحصنة طروادة المصرفية الأخرى إلى الظهور بميزات محدثة للمساعدة في التزحلق على الأمان السابق ، بما في ذلك Emotet ، الذي ظهر من جديد في وقت سابق من هذا الصيف في شكل أكثر تقدمًا بعد أن تم إسقاطها من قبل فريق عمل دولي مشترك في يناير 2021.
نوكيا 2021 "تقرير استخبارات التهديد"حذر من أن تهديدات البرامج الضارة المصرفية تتزايد بشكل حاد ، حيث يستهدف مجرمو الإنترنت زيادة شعبية الخدمات المصرفية عبر الهاتف المحمول على الهواتف الذكية ، مع وجود مؤامرات تهدف إلى سرقة بيانات الاعتماد المصرفية الشخصية ومعلومات بطاقة الائتمان.
من المتوقع استمرار تهديدات الابتزاز في عام 2023
يشير Melick إلى أن الابتزاز ليس أمرًا جديدًا على الجهات الخبيثة ، كما لوحظ في هجمات برامج الفدية وانتهاكات البيانات على نطاق عالمي.
يقول: "إن استخدام الابتزاز على هذا المستوى الشخصي ، واستهداف الضحايا الأفراد ، هو نوع من المقاربة الجديدة التي تتطلب استثمارًا في الأفراد والوقت". "لكنها تؤتي ثمارها واستنادًا إلى عدد المراجعات والشكاوى حول MoneyMonger وغيرها من عمليات الاحتيال على القروض الجارحة المشابهة لهذا ، فإنها ستستمر فقط."
ويتوقع أن أوضاع السوق والظروف المالية ستجعل بعض الناس في أمس الحاجة إلى طرق لدفع الفواتير أو الحصول على نقود إضافية.
يقول: "تمامًا كما رأينا عمليات الاحتيال على القروض الجارحة تتزايد في الركود الأخير ، فمن المؤكد تقريبًا أننا سنرى هذا النموذج من السرقة والابتزاز يستمر حتى عام 2023."
