مجرمون يستخدمون تطبيقات وهمية لسرقة بيانات المستخدمين والابتزاز عبر شبكات آسيا المتنقلة
29 يوليو 2025 | مايسترو نيرو - قسم الأمن السيبراني
اكتشف باحثون في الأمن السيبراني حملة واسعة النطاق من البرمجيات الخبيثة تستهدف منصتي Android وiOS عبر تطبيقات وهمية تدّعي أنها لمواعدة، أو شبكات اجتماعية، أو تخزين سحابي، أو خدمات نقل، بهدف سرقة بيانات شخصية حساسة.
أطلق فريق Zimperium zLabs على التهديد اسم SarangTrap، ويبدو أن المستخدمين في كوريا الجنوبية هم الهدف الرئيسي.
كيف يعمل الهجوم على أندرويد؟
تُستخدم النطاقات المزيفة لتقليد صفحات متاجر التطبيقات الرسمية، بهدف خداع المستخدمين لتنزيل التطبيقات. بمجرد التثبيت:
- يُطلب من الضحية إدخال رمز دعوة، يتم التحقق منه من خادم تحكم (C2).
- يُطلب التطبيق أذونات حساسة (SMS، جهات الاتصال، الملفات) بذريعة تفعيل الميزات.
- يبدأ التطبيق بجمع البيانات وسرقتها بشكل صامت.
الهجوم على iOS
في iOS، لا يتم توزيع التطبيق نفسه، بل يُخدع المستخدم لتثبيت ملف تكوين (Configuration Profile) على جهازه، ثم يُستخدم هذا الملف لتنزيل وتثبيت التطبيق الخبيث.
بمجرد التثبيت، يبدأ التطبيق بجمع:
- جهات الاتصال
- الصور
- مكتبة الصور بالكامل
وقد وُجد أن الحملة لا تزال قيد التطوير، مع متغيرات جديدة تركز على جمع البيانات ونقلها إلى خوادم خارجية. كما هناك أدلة على أن المهاجمين يبتزون الضحايا بتهديدات بنشر مقاطع فيديو شخصية لأسرهم.
"يُغري الضحايا بوعود بالرفقة، ثم يكتشفون أنهم وقعوا في دوامة مراقبة وابتزاز وإهانة."
حملة أخرى: تزييف تطبيق Telegram
في حملة موازية، تم إنشاء 607 نطاقًا باللغة الصينية لتوزيع ملفات APK تدّعي أنها تطبيق Telegram، عبر رمز QR مضمّن في الموقع.
يمكن للمهاجمين إعادة تعبئة التطبيق مع الحفاظ على التوقيع الأصلي، مما يسمح بتوزيعه دون اكتشافه من قبل أنظمة الحماية.
استهداف جماعات ثقافية محددة
تُظهر حملات أخرى كيف يستخدم المجرمون التوجّه الثقافي لاختراق شرائح معينة، مثل:
- مستخدمي البنوك الهندية
- الناطقين باللغة البنغالية، خصوصًا من بنغلاديش في السعودية، ماليزيا، والإمارات
تُوزع التطبيقات عبر مواقع تصيد وصفحات فيسبوك، وتُخدع الضحايا بإدخال بياناتهم في واجهات وهمية تُقلّد عمليات تحويل الأموال أو دفع الفواتير، دون تنفيذ أي عملية فعلية.
فيروس مصرفي جديد: RedHook في فيتنام
في فيتنام، تم اكتشاف فيروس مصرفي جديد باسم RedHook، يُوزع عبر مواقع تصيد تنتحل هوية مؤسسات مالية وحكومية.
يجمع بين تسجيل الضغطات (keylogging) وبرنامج وصول عن بُعد (RAT)، ويستخدم خدمات إمكانية الوصول (Accessibility) لتنفيذ هجمات التراكب (Overlay).
كما يستخدم واجهة MediaProjection لالتقاط شاشة الجهاز، ويُعتقد أن المطور يتحدث الصينية بناءً على نصوص داخل الكود.
تم اكتشاف سلة AWS S3 مكشوفة تحتوي على لقطات شاشة، قوالب بنكية وهمية، ووثائق تعود إلى نوفمبر 2024، تُظهر تطور الهجوم.
اقتصاد الجريمة المنظمة: MaaS وشراء الأجهزة المُختَرَقة
أصبح تأسيس حملات جديدة أسهل من أي وقت مضى، بفضل:
- Malware-as-a-Service (MaaS) مثل PhantomOS وNebula (اشتراك شهري).
- أدوات تتجاوز Google Play Protect، وتقدم دعمًا عبر Telegram.
- برامج تشفير (Crypters) وأدوات استغلال (Exploit Kits).
- أدوات مثل Android ADB Scanner التي تبحث عن منافذ ADB مفتوحة وتُثبّت ملف APK خبيث (بـ 600-750 دولار).
لم يعد المهاجمون بحاجة لتوزيع البرمجيات، بل يشترون شبكات جاهزة من الأجهزة المصابة.
توصيات للوقاية
- احذر من التطبيقات التي تطلب أذونات غير معتادة أو رموز دعوة.
- لا تُنزّل التطبيقات من مصادر غير موثوقة أو متاجر غير رسمية.
- راجع بشكل دوري الأذونات الممنوحة والملفات المثبتة على جهازك.
- افحص الملفات الشخصية (Configuration Profiles) على iOS.
تم التعديل في: 29 يوليو 2025