أوهام IPTV: برمجيات خبيثة على أندرويد تتنكر وتستنزف الحسابات البنكية في أنحاء أوروبا
مجرمو الإنترنت يستغلون تطبيقات بث مزيفة لاختطاف الأجهزة وتفريغ حسابات الضحايا البنكية ضمن حملة أندرويد جديدة متطورة.
بدأ الأمر بوعدٍ بتلفاز مجاني. لكن بدلًا من ذلك، سلّم آلاف مستخدمي أندرويد في أنحاء أوروبا، من دون أن يدروا، مفاتيح حياتهم الرقمية إلى مجرمي الإنترنت. خلف الواجهة اللامعة لتطبيقات “IPTV” كان يختبئ Massiv - سلالة جديدة من برمجيات سرقة البنوك صُممت لغرض واحد: التدمير المالي. ومع اصطدام السعي وراء الترفيه الرخيص بعالم السطو عالي التقنية، يحذّر المحققون من أن كلفة التثبيت من خارج المتجر قد تكون أعلى مما تخيّله أيٌّ كان.
داخل خدعة IPTV: كيف يعمل Massiv
لسنوات، كان مستخدمو أندرويد الباحثون عن IPTV مجاني (تلفزيون عبر بروتوكول الإنترنت) يتجاوزون متاجر التطبيقات الرسمية، متجهين إلى مواقع مشبوهة للحصول على ملفات APK. هذا الشغف بالمحتوى المقرصن وفّر الغطاء المثالي لـMassiv، وهي حملة برمجيات خبيثة متخفية كشفتها شركة الأمن السيبراني الهولندية ThreatFabric. متنكرة كتطبيقات بث، لا تفشل هذه التنزيلات الخبيثة في تقديم الرياضة أو الأفلام فحسب - بل تُثبّت بهدوء حصان طروادة مصممًا للاستيلاء الكامل على الجهاز.
ترسانة Massiv التقنية تبدو كقائمة أمنيات لمجرم إلكتروني. ما إن تستقر على الجهاز حتى تطلب أذونات واسعة، ثم تستخدم خدمات إمكانية الوصول في أندرويد للتحكم بكل نقرة وتمرير على الشاشة. هناك نمطان للهجوم: وضع بث مباشر للشاشة، ووضع “UI-tree” الذي يرسم خريطة لكل عنصر مرئي على الشاشة، متجنبًا حتى وسائل الحماية من التقاط الشاشة التي تستخدمها تطبيقات البنوك. يمكن للمهاجمين مشاهدة ما تكتبه، واعتراض رموز SMS، وحتى فتح قفل هاتفك عن بُعد.
استهدفت إحدى الحملات تطبيق المصادقة الحكومي في البرتغال، Chave Móvel Digital، وخدعت المستخدمين لكشف أرقام PIN وأرقام الهواتف. وباستخدام هذه التفاصيل، تجاوز المحتالون عمليات التحقق من الهوية وفتحوا حسابات بنكية جديدة بأسماء الضحايا - جاهزة لغسل الأموال والقروض الاحتيالية. وغالبًا ما يبقى الضحايا غير مدركين حتى تصلهم ديون أو إشعارات قانونية.
وعلى خلاف البرمجيات الخبيثة الأقدم، نادرًا ما يُصيب Massiv تطبيقات IPTV الشرعية. بدلًا من ذلك، يستخدم “droppers” - تطبيقات مزيفة تفتح موقعًا إلكترونيًا داخل نافذة لتبدو أصلية، بينما تُثبّت الحمولة الحقيقية بصمت. تبدأ العدوى عادة برسالة تصيّد عبر SMS تعد بـ“تحديث مهم”. وبمجرد منح الأذونات، تعمل البرمجية في الخلفية، بل وتعرض تراكبًا أسود على الشاشة لإخفاء نشاطها عن المستخدم.
التهديد الأوسع: تنكّر جديد لبرمجيات سرقة البنوك
يشير صعود البرمجيات الخبيثة ذات الطابع المرتبط بـIPTV إلى تحوّل في تكتيكات مجرمي الإنترنت. فمع نبذ تطبيقات البث المخالفة لحقوق النشر من Google Play، اعتاد المستخدمون التثبيت من مصادر غير رسمية - ما يجعلهم أهدافًا مثالية للعدوى. خلال الأشهر الستة الماضية، تصاعد هذا الأسلوب في جنوب أوروبا، مع تصدّر Massiv للمشهد. ورغم أنه لم يُبع بعد كنموذج “برمجيات خبيثة كخدمة”، يعتقد المحققون أن مشغلي Massiv يستعدون لتوزيع أوسع عبر إضافة ميزات مثل مفاتيح API وتحديثات مستمرة للكود.
الخلاصة: عندما يصبح التلفاز المجاني بثمن
بالنسبة لمستخدمي أندرويد، يتضح أن إغراء البث المجاني مكلف. ومع تطور برمجيات خبيثة مثل Massiv، تتلاشى الحدود بين الترفيه والاستغلال. يحثّ المحققون المستخدمين على الالتزام بمتاجر التطبيقات الرسمية، وإبقاء Play Protect مفعّلًا، والتعامل مع التحديثات غير المطلوبة بريبة. في عالم الجريمة السيبرانية، قد تكون القناة التالية التي تضبطها مجرد فخ.
WIKICROOK
- Dropper: الـDropper هو نوع من البرمجيات الخبيثة يثبّت سرًا برامج خبيثة إضافية على جهاز مُصاب، ما يساعد المهاجمين على تجاوز إجراءات الأمان.
- هجوم التراكب: يستخدم هجوم التراكب شاشات مزيفة توضع فوق التطبيقات الحقيقية لخداع المستخدمين وإدخال بيانات حساسة مثل كلمات المرور أو أرقام PIN، مما يتيح سرقة بيانات الاعتماد.
- خدمات إمكانية الوصول: خدمات إمكانية الوصول هي ميزات في أندرويد تساعد المستخدمين ذوي الإعاقة، لكنها قد تُساء استخدامها من قبل البرمجيات الخبيثة للتحكم بالأجهزة أو سرقة البيانات.
- تسجيل ضغطات المفاتيح: تسجيل ضغطات المفاتيح هو أسلوب تجسّس تُسجَّل فيه سرًا كل ضغطة تكتبها وتُرسل إلى مجرمي الإنترنت، ما يعرّض معلوماتك الحساسة للخطر.
- البرمجيات الخبيثة: البرمجيات الخبيثة هي برنامج ضار صُمم للتسلل إلى الأجهزة الحاسوبية أو إتلافها أو سرقة البيانات منها دون موافقة المستخدم.
