سطو أندرويد: كيف يهزّ برمجية deVixor الخبيثة مستخدمي الهواتف الذكية في إيران

تبدأ القصة بصفقة تبدو أفضل من أن تكون حقيقية - سيارة جديدة لامعة بجزء بسيط من السعر، يروّج لها ما يبدو أنه وكالة موثوقة. لكن بالنسبة لمئات مستخدمي أندرويد في إيران، تكفي نقرة واحدة للغرق في كابوس رقمي. خلف هذه العروض المغرية يتربّص deVixor: سلاح سيبراني سريع التطوّر يستخدمه المجرمون لنهب الحسابات البنكية، والتجسّس على كل حركة، وإقفال الهواتف طلبًا للفدية.

حقائق سريعة

• deVixor برمجية خبيثة متقدمة على أندرويد تستهدف المستخدمين الإيرانيين منذ أكتوبر 2025.
• تنتشر عبر مواقع تصيّد متنكرة كوكالات سيارات، وتوزّع ملفات APK خبيثة.
• تجمع بين سرقة بيانات الدخول البنكية، ومراقبة الجهاز، وبرمجيات الفدية في حزمة واحدة.
• تطالب بفدية بالعملات المشفّرة (50 TRX) لفك قفل الأجهزة المصابة.
• تستخدم Telegram وFirebase للتحكم وإصدار الأوامر، متفادية أدوات الحماية التقليدية.

داخل حملة deVixor: تشريح موجة جريمة عبر الهاتف المحمول

تتبّع خبراء الأمن السيبراني أكثر من 700 عيّنة مختلفة من deVixor - دليل على تطوير لا يهدأ ودرجة عالية من التعقيد. أما ناقل العدوى فبقدر ما هو ماكر فهو بسيط: مواقع تصيّد مُفصّلة بالفارسية ومصممة على غرار شركات سيارات معروفة، تخدع المستخدمين لتنزيل تطبيقات أندرويد مصابة (APKs). وما إن تُثبَّت حتى تستولي هذه التطبيقات فورًا على التحكم، مطالبةً بأذونات واسعة مثل الوصول إلى جهات الاتصال والرسائل القصيرة والتخزين، وحتى «خدمات تسهيلات الاستخدام» القوية في أندرويد.

ما يجعل deVixor خطيرًا على نحو خاص هو ترسانته متعددة الأدوات. فباستخدام حقن JavaScript المعتمد على WebView، يعترض بيانات الاعتماد عندما يسجّل الضحايا الدخول إلى تطبيقات مصرفية شرعية، مع التركيز على بنوك إيرانية مثل بنك ملي إيران وبنك ملت وبنك تجارت. كما ينقّب في آلاف رسائل SMS، مستخرجًا كلمات المرور لمرة واحدة (OTPs) وأرصدة الحسابات وأرقام بطاقات الدفع، بل ويستهدف أيضًا بورصات العملات المشفّرة المزدهرة في إيران بما فيها Ramzinex وExir.

لكن deVixor لا يتوقف عند السرقة. فبأمر واحد عن بُعد، يمكن للمهاجمين تفعيل وحدة برمجيات الفدية، لإقفال الجهاز ومنع المستخدم من الوصول إليه والمطالبة بدفع 50 TRX (عملة ترون المشفّرة) مقابل الإفراج. وبنيته التحتية لا تقل تعقيدًا، إذ يعتمد على Firebase لتسليم الأوامر سرًا وعلى روبوتات Telegram للإدارة على نطاق واسع. ويُخصَّص لكل جهاز مصاب معرّف Bot ID فريد، ما يمنح المهاجمين تحكمًا دقيقًا وإشرافًا لحظيًا.

وللبقاء متخفيًا، يتنكر deVixor كتطبيقات شرعية مثل YouTube، ويعطّل Google Play Protect، بل ويمنع محاولات إلغاء التثبيت. كما يستمر عبر إعادة تشغيل النظام وخدمات تعمل في الواجهة الأمامية، ما يجعل إزالته تحديًا تقنيًا. وتُظهر أدلة من قنوات Telegram مئات الأجهزة المخترقة، مع تباهي المهاجمين بمدى انتشارهم وأرباحهم.

ويحثّ المختصون الأمنيون مستخدمي أندرويد على اليقظة: تثبيت التطبيقات من المتاجر الرسمية فقط، وتدقيق عناوين المواقع (URLs)، وتفعيل المصادقة متعددة العوامل، والحفاظ على تحديث الأجهزة. وإذا اشتبهت بالإصابة، فالإجراء الفوري - إعادة تعيين بيانات الاعتماد، وإبلاغ البنوك، وإجراء إعادة ضبط المصنع - ضروري لاستعادة جهازك وأموالك.

الخلاصة

deVixor ليس مجرد برمجية خبيثة أخرى على أندرويد - إنه لمحة عن مستقبل الجريمة السيبرانية على الهاتف المحمول، حيث تتلاقى سرقة الأموال والمراقبة والابتزاز في حملة واحدة لا تعرف التوقف. بالنسبة للمستخدمين في إيران، التهديد عاجل وحقيقي. وبالنسبة لبقيتنا، إنها رسالة تحذير: في بازار العالم الرقمي، قد تكلّفك الصفقة التالية كل شيء.

WIKICROOK

• APK: ملف APK هو ملف تثبيت لتطبيقات أندرويد، يتيح للمستخدمين تثبيت التطبيقات خارج متجر Play الرسمي. وقد يشكل مخاطر أمنية إذا لم يكن من مصادر موثوقة.
• حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، بما يمكّن من السرقة والتجسس.
• WebView: WebView هو متصفح مدمج داخل التطبيق، يتيح للمستخدمين عرض محتوى الويب دون مغادرة التطبيق أو فتح متصفح منفصل.
• Firebase: Firebase منصة سحابية من Google لتطوير التطبيقات، ويُساء استخدامها أحيانًا من قبل المهاجمين للتحكم وإصدار الأوامر للبرمجيات الخبيثة أو لسرقة البيانات.
• روبوت Telegram: روبوت Telegram هو برنامج آلي على تيليغرام يمكنه إرسال الرسائل أو تلقيها، وغالبًا ما يُستخدم للأتمتة أو من قبل مجرمي الإنترنت لإدارة البرمجيات الخبيثة.