خداع المخالفات: كيف يتنكر برمج خبيث متطور على أندرويد في هيئة غرامات حكومية

تبدأ بنغمة تنبيه: رسالة واتساب عاجلة، وتحذير صارم بأن مركبتك تراكمت عليها مخالفة مرورية. يبدو الرابط رسميًا، ويبدو التهديد حقيقيًا. لكن خلف واجهة السلطة الحكومية يختبئ نوع جديد لا يرحم من الجرائم السيبرانية - نوع ينهب آلاف الهنود ويرفع سقف المواجهة في سباق تسلح برمجيات أندرويد الخبيثة.

تشريح عملية سطو رقمية

كشف Seqrite Labs مؤخرًا عن حملة برمجيات خبيثة متطورة على أندرويد تستهدف المستخدمين في الهند عبر انتحال إشعارات مكتب النقل الإقليمي (RTO). تستغل عملية الاحتيال الهندسة الاجتماعية وسلطة الرسائل الحكومية لخداع الضحايا ودفعهم إلى تصرف عاجل - غالبًا عبر رسائل واتساب تحث على الدفع الفوري لغرامات مرورية مزعومة.

وعلى خلاف النسخ السابقة الأكثر بدائية، تتميز هذه الحملة بسلسلة إصابة معيارية من ثلاث مراحل. تُوزَّع التطبيقات الخبيثة خارج متجر Google Play، ما يجعل اكتشافها أصعب على إجراءات الحماية التقليدية. إليك كيف يتكشف الهجوم:

• المرحلة 1: المُسقِط ومُعدِّن العملات المشفرة – يقوم التطبيق الأولي بفك التشفير وتثبيت حمولة إضافية مكوّنة من جزأين. وبينما يكون الهاتف مقفلًا، يعدين العملات المشفرة سرًا، مستغلًا موارد الجهاز دون علم المستخدم.
• المرحلة 2: طبقة الاستمرارية – تُرسّخ هذه المرحلة موطئ قدم على الجهاز عبر إخفاء الأيقونة، والعمل في الخلفية، وضمان بقاء البرمجية الخبيثة بعد إعادة التشغيل. وتتصل ببنية خلفية سحابية (Google Firebase)، ما يتيح للمهاجمين تحديث الأوامر والإعدادات في الوقت الحقيقي.
• المرحلة 3: سرقة البيانات والاحتيال – متنكرة في واجهة حكومية شرعية، تطلب الحمولة النهائية أذونات واسعة. وبمجرد منحها، تسحب المعلومات الشخصية (مثل الأسماء وأرقام أدهار وPAN)، وبيانات الاعتماد المصرفية، وأرقام PIN الخاصة بـ UPI، ورموز OTP، وحتى محتوى الرسائل القصيرة. تُرفع كل هذه البيانات إلى البنية الخلفية للمهاجمين، جاهزة للاستغلال.

لا يقتصر هذا النهج متعدد المحاور على تعظيم فرص الإصابة والاستمرارية فحسب، بل يتيح أيضًا تحقيق دخل مستمر عبر الاحتيال المالي و«اختطاف التعدين» (cryptojacking). وتسمح البنية الخلفية للمهاجمين بتعديل العمليات عن بُعد، وتحويل المكالمات أو الرسائل القصيرة، ومراقبة الأجهزة مباشرة، والتكيف مع إجراءات الحماية المضادة.

عصر جديد من الاحتيال المنظم على أندرويد

تمثل هذه الحملة قفزة في التعقيد والطموح. فهي مدفوعة بالسحابة، وتُحدَّث ديناميكيًا، وتضم تقنيات متقدمة لمقاومة التحليل لتفادي الاكتشاف. وبالمقارنة مع برمجيات خبيثة سابقة ذات طابع RTO، فهي تقدم الآن مراقبة كاملة، وترقيات معيارية، ومصادر دخل متعددة.

الكلفة البشرية ملموسة: فالضحايا لا يواجهون فقط استنزاف الحسابات المصرفية وسرقة الهويات، بل أيضًا خطر تبديل شرائح SIM، والقروض الاحتيالية، والاستيلاء على الحسابات. ومع أكثر من 7,400 إصابة مؤكدة وما زال العدد في ازدياد، فإن نطاق هذه العملية مقلق.

ويحث خبراء الأمن المستخدمين على التشكيك في أي إشعارات حكومية غير مطلوبة - خصوصًا تلك التي تُستلم خارج القنوات الرسمية. لا تثبّت التطبيقات إلا من متجر Google Play، واستخدم حلول أمن جوال موثوقة قادرة على اكتشاف التهديدات المتطورة مثل Android.Dropper.A.

الخلاصة

مع ازدياد جرأة عصابات الجريمة السيبرانية وتطورها، تتلاشى الحدود بين التواصل الرقمي الرسمي والاحتيالي. إن حملة مخالفات RTO المزيفة تذكير صارخ: في العصر الرقمي، اليقظة ليست خيارًا. قد يكون التحقق قبل النقر هو الفارق بين الأمان وخسارة مالية جسيمة.

WIKICROOK

• APK: ملف APK هو ملف تثبيت لتطبيقات أندرويد، يتيح للمستخدمين تثبيت التطبيقات خارج متجر Play الرسمي. وقد يشكل مخاطر أمنية إذا لم يكن من مصادر موثوقة.
• Dropper: المُسقِط هو نوع من البرمجيات الخبيثة يثبت سرًا برامج خبيثة إضافية على جهاز مصاب، ما يساعد المهاجمين على تجاوز إجراءات الحماية.
• Cryptojacking: «اختطاف التعدين» هو عندما يستخدم القراصنة جهازك سرًا لتعدين العملات المشفرة، ما يبطئه ويزيد تكاليف الكهرباء دون علمك.
• Persistence: تشير الاستمرارية إلى تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.
• C2 (Command and Control): C2 (القيادة والتحكم) هي بنية تحتية يستخدمها المهاجمون لإدارة البرمجيات الخبيثة والتحكم بها والتواصل معها عن بُعد على الأجهزة المخترقة.