تتطرق نايلة الصليبي في "النشرة الرقمية" إلى  تقرير أمن سيبراني يحذر من عودة البرمجية الخبيثة "Vultur"، هي واحدة من أولى عائلات البرمجيات الخبيثة المصرفية التي تستهدف الخدمات والتطبيقات المصرفية في نظام التشغيل "أندرويد".

برمجية خبيثة تهدد الخِدْمَات والتطبيقات المصرفية في أجهزة الهاتف أندرويد

تعد Vultur واحدة من أولى عائلات البرمجيات الخبيثة المصرفية التي تستهدف التطبيقات المصرفية في نظام التشغيل أندرويد والتي تتضمن قدرات تسجيل الشاشة كتسجيل لوحة المفاتيح والتحكم عن بعد.

اكتشفت البرمجية الخبيثة Vultur لأول مرة بواسطة ThreatFabric في أواخر مارس 2021. البرمجية الخبيثة Vultur هي من نوع حصان طروادة مخبأة في أكواد أو شيفرة العديد من تطبيقات متجر غوغل بلاي والتي تمكنت من خداع الآلاف من المستخدمين.

رصد عودة انتشار vultur تحقيق أجراه جوشوا كامب، باحث في مجال الأمن السيبراني في مجموعة NCCGroup البريطانية المتخصصة في أمن المعلومات والأمن السيبراني ، فقد عادت البرمجية الخبيثة Vultur بنسخة جديدة مع تقنية جديدة تعتمد على هجوم TOAD telephone- oriented attack delivery، (توصيل الهجمات الموجهة عبر الهاتف) هذا النوع من العمليات مبني على الهندسة الاجتماعية عن طريق إثارة الرعب لدى المستخدمين بحجة عدم التصريح بمعاملة تنطوي على مبلغ كبير من المال. وخداعهم عبر رسائل نصية ومكالمة هاتفية. ففي الواقع، لم تحدث هذه المعاملة أبدا، ولكنها تخلق إحساسًا زائفًا بالإلحاح لخداع الضحية للتصرف بسرعة.

ما أسلوب عمل هذه البرمجية الخبيثة؟

في البداية، تتلقى الضحية رسالة نصية تشير إلى مشكلة مالية، مع الطلب الاتصال برقم هاتف. إذا استجابت الضحية لهذه الخدعة، يتصل قرصان بالضحية على أنه ممثل خدمة عملاء McAfee. ثم يرسل للضحية رسالة نصية قصيرة تحتوي على رابط تثبيت لتطبيق McAfee Security مزيف، وهو تطبيق شهير لمكافحة الفيروسات، يخفي القراصنة في شيفرة تطبيق ال McAfee Security المزيف. Trojan حصان طروادة Dropper تحت مسمى Brunhilda، وبرامج "دروبر" مهمتها تثبيت أنواع أخرى من البرامج الخبيثة على الجهاز الملوث.

تقوم برمجية الدروبر Brunhilda بتثبيت البرمجية الخبيثة Vultur على الجهاز. وعند تثبيت برمجية vultur في هاتف الضحية تبدأ بسرقة التفاصيل المصرفية للضحية والمفاتيح الخاصة التي توفر إمكانية الوصول إلى المحافظ التي تحتوي على العملات الرقمية المشفرة.

بعد مرور أكثر من عامين على ظهور هذه البرمجية الخبيثة ما هي الميزات الجديدة؟

وفقا لتقرير جوشوا كامب، الباحث في مجموعة NCCGroup، للامن السيبراني، هناك العديد من الميزات الجديدة في هذا الإصدار الجديد من البرمجية الخبيثة Vultur. فقد أصبحت قادرة على "التفاعل عن بعد مع شاشة الضحية بطريقة أكثر مرونة. على سبيل المثال، يمكن للبرمجية الخبيثة النقر على المحتوى نيابة عن المستخدم،  على سبيل المثال: كتم وإلغاء كتم الصوت أو تنزيل الملفات وحذفها وتثبيتها والبحث عنها وغيرها. إضافة إلى ذلك، تستطيع Vultur منع الضحية من تشغيل تطبيقات معينة على الهاتف الملوث، وعرض إشعار مخصص في شريط الحالة، وتعطيل Keyguard لتجاوز تدابير أمان شاشة القفل.

من الميزات الجديدة الأخرى: قدرة البرمجية الخبيثة Vultur إخفاء المزيد من نشاطها الخبيث من خلال تشفير اتصالاتها مع خوادم القيادة والتحكم، باستخدام حمولات مشفرة متعددة يفك تشفيرها أثناء التنقل، وتعديل التطبيقات الشرعية باستخدام اسم حزمة McAfee Security و Android Accessibility Suite للسيطرة على الهاتف الذكي للضحايا.

يعتبر الباحث في الأمن السيبراني جوشوا كامب، كاتب التقرير، أن "الهدف الرئيسي من هذه النسخة من البرمجية الخبيثة Vultur هو السيطرة الكاملة على الأجهزة المخترقة".فعند السيطرة على الهاتف، سيسجل Vultur جميع كلمات المرور والمعرفات التي يكتبها المستخدم، واعتراض جميع الرسائل النصية القصيرة، بما في ذلك رموز المصادقة والإشعارات الأمنية وغيرها.ما يتيح للقراصنة سحب جميع الأموال الموجودة في الحساب المصرفي والاستيلاء على محافظ العملات الرقمية المشفرة

يتوقع الباحث في الأمن السيبراني جوشوا كامب إضافة المزيد من الميزات إلى البرمجية الخبيثة Vultur في المستقبل القريب وينصح بالحذر وبعدم الوثوق بالرسائل النصية القصيرة المثيرة للقلق من جهات مجهولة.

 

يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل

للتواصل مع نايلة الصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@  وعلى ماستودون  وبلوسكاي عبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي