تحديث أندرويد الخفي: كيف يختطف «Oblivion RAT» الهواتف عبر شاشات مزيفة لمتجر Play

العنوان الفرعي: مجموعة أدوات جديدة للجريمة السيبرانية تستخدم تقليدًا متقنًا لمتجر Google Play للاستيلاء على أجهزة أندرويد واستهداف أموال الضحايا.

يبدأ الأمر برسالة - رابط يعدك بتحديث روتيني لجهاز أندرويد. تبدو الشاشات أصلية، وأشرطة التقدّم مطمئنة. لكن خلف واجهة متجر Play المألوفة تختبئ واحدة من أكثر حملات التجسس على أندرويد تطورًا حتى الآن: «Oblivion RAT»، عملية «برمجيات خبيثة كخدمة» تشهد الآن تصاعدًا داخل عالم الجريمة الإلكترونية تحت الأرض.

حقائق سريعة

Oblivion RAT منصة تجسس على أندرويد بنظام اشتراك، تُؤجَّر مقابل 300 دولار شهريًا.
تستخدم شاشات تحديث مزيفة لمتجر Google Play وإعدادات إمكانية الوصول لخداع الضحايا لتثبيت البرمجية الخبيثة.
يحصل المهاجمون على وصول فوري إلى شاشات الجهاز وضغطات المفاتيح، ويمكنهم اعتراض الرسائل النصية - بما في ذلك كلمات المرور لمرة واحدة.
تتضمن البرمجية الخبيثة أداة «تقييم الثروة» لتحديد تطبيقات البنوك والتمويل على الأجهزة المصابة.
تتبّع الباحثون بنيتها التحتية إلى عدة عناوين IP أوروبية وخوادم أوامر غير مُشفّرة.

تشريح خدعة رقمية

Oblivion RAT ليس مجرد تطبيق مارق آخر - بل هو نتاج مصنع برمجيات خبيثة مصقول. مقابل رسوم شهرية، يحصل مجرمو الإنترنت على مُنشئ قائم على الويب، ومولّد «دروبر»، ولوحة تحكم للقيادة والسيطرة (C2) تضع الهواتف بالكامل تحت قبضتهم. وقد قام محللو الأمن في Certo Software وiVerify مؤخرًا بتشريح الحملة، كاشفين كيف يسلّح الفاعلون الثقة في عملية تحديث أندرويد.

تبدأ العدوى عندما يقوم الضحية بتنزيل تطبيق - غالبًا ما يُرسل عبر منصات المراسلة أو المواعدة. يطلق التطبيق عملية «تحديث» من ثلاث خطوات تحاكي Google Play بدقة شديدة، حتى إن المستخدمين المتمرسين تقنيًا قد يُخدعون. تعرض الصفحة الأولى شريط تنزيل مزيفًا وفحصًا أمنيًا وهميًا. وتعرض الصفحة الثانية صفحة إدراج في متجر Play، مكتملة بتقييم مرتفع للمطور وزر «تحديث» كبير. وبمجرد أن يتابع المستخدم، يتم تسليم الحمولة الحقيقية.

المرحلة الثانية هي حيث يتجلى ذكاء Oblivion - وحيث يتضاعف الخطر. تطلب البرمجية الخبيثة فورًا أذونات «إمكانية الوصول» في أندرويد، لكنها بدلًا من عرض الإعدادات الحقيقية، تقدم نسخة مطابقة تمامًا. يتحكم المهاجم بكل كلمة على الصفحة، مهدئًا أي شكوك وضامنًا أن يمنح الضحية مفاتيح جهازه.

داخل غرفة تحكم المهاجم

بعد تأمين الوصول، يتصل Oblivion بخوادمه باستخدام ملف إعدادات غير مُشفّر - كاشفًا بإهمال عناوين الخوادم ورموز المشغّلين للباحثين. ومن لوحة C2، يمكن للمهاجمين مشاهدة شاشة الجهاز مباشرة، ومحاكاة اللمسات، وتسجيل كل ضغطة مفتاح. والأكثر إثارة للرعب أن Oblivion يسجّل نفسه كتطبيق SMS الافتراضي، معترضًا الرسائل الواردة (بما في ذلك رموز المصادقة الثنائية) قبل أن يراها المستخدم أصلًا.

تقوم أداة «تقييم الثروة» في المنصة تلقائيًا بمسح التطبيقات المالية والمصرفية وتطبيقات العملات المشفرة، موجِّهة المهاجمين إلى أكثر الأهداف ربحًا. وقد رصد الباحثون بالفعل حركة مرور للحملة من عناوين IP عبر أوروبا، ويحذرون من أن البنية التحتية تتطور بسرعة.

الخلاصة: ثقة مخدوعة

يذكّرنا Oblivion RAT بأن حتى أكثر التجارب الرقمية ألفة يمكن تحويلها إلى سلاح. ومع ازدياد احترافية مجموعات أدوات الجريمة السيبرانية وإقناعها، يجب على المستخدمين وفرق الأمن على حد سواء البقاء في حالة يقظة - لأن نافذة «تحديث» التالية قد تكون بوابة لاختراق كامل.

WIKICROOK

حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، مما يمكّن من السرقة والتجسس.
البرمجيات الخبيثة: البرمجيات الخبيثة هي برنامج ضار صُمّم للتسلل إلى الأجهزة الحاسوبية أو إتلافها أو سرقة البيانات منها دون موافقة المستخدم.
الدروبر: الدروبر هو نوع من البرمجيات الخبيثة يثبّت سرًا برامج ضارة إضافية على جهاز مصاب، ما يساعد المهاجمين على تجاوز إجراءات الأمان.
خدمة إمكانية الوصول: خدمة إمكانية الوصول هي ميزة في أندرويد تساعد المستخدمين ذوي الإعاقة، لكنها قد تُساء استخدامها من قبل البرمجيات الخبيثة للتحكم بوظائف الجهاز.
أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.