باحثون يحذّرون من برنامج خبيث يهاجم هواتف «أندرويد»

حذّر باحثون في أمن المعلومات من أن مجموعة من القراصنة ومحترفي الجريمة الالكترونية، نشروا خلال الفترة الأخيرة، برنامجاً خبيثاً يهاجم الهواتف الذكية العاملة بنظام التشغيل «أندرويد»، حيث يقوم فور وصوله للهاتف، بإفساد خواص الوصول المبنية داخل النظام، لتحقيق اختراق عميق يمكنه من تعقب وسرقة كلمات المرور من 200 تطبيق مالي، الخاصة بالحسابات المصرفية، ومحافظ العملات الرقمية المشفرة، وأكواد المصادقة ثنائية العوامل، واستخدامها للسطو على الأموال، وتحويلها إلى حسابات المجرمين.

أطلق هذا التحذير فريق من باحثي أمن المعلومات في شركة «سايبريزون» المتخصصة في أمن المعلومات، ونشروا ورقة بحثية على المدونة الرسمية للشركة، أوضحوا خلالها أن البرنامج الخبيث يحمل اسم «إيفينت بوت»، ويأتي متنكراً في صورة التطبيقات الشائعة المشروعة، والموثوق بها، مثل «مايكروسوفت وورد»، و«أدوبي فلاش» وغيرهما، وبمجرد وصوله للهاتف، يثبت نفسه، وينفذ اختراقاً عميقاً لنظام التشغيل.

تطبيقات مالية

وأضاف الفريق أن الهجمة تركز بشكل خاص على تطبيقات الخدمات المصرفية المالية في الولايات المتحدة وأوروبا، بما في ذلك إيطاليا والمملكة المتحدة وإسبانيا وسويسرا وفرنسا وألمانيا، مبيناً أن من أبرز التطبيقات المالية التي يهاجمها البرنامج، تطبيق «باي بال بيزنس»، و«ريفوليوت»، و«باركليز»، و«يوني كريدت»، و«إتش إس بي سي»، و«كوين بيز»، و«ترانسفير وايز».

قدرات متقدمة

وقال رئيس قسم أبحاث التهديدات في «سايبريزون»، عساف دهان، إن الدلائل تشير إلى أن المجرمين أنفقوا الكثير من الوقت والموارد في إنشاء الكود الخاص لبرنامج «إيفينت بوت» الخبيث، مشيراً إلى أنه ينطوي على قدر كبير من التعقيد، والإمكانات والقدرات المتقدمة للغاية، منها تسجيل كل نقرة وضغط على المفتاح بهدوء، وقراءة الإشعارات من كل التطبيقات المثبتة على الهاتف، ما يمنح المتسللين نافذة إلى ما يحدث على جهاز الضحية، وبمرور الوقت، يستحوذ على كلمات مرور التطبيقات المصرفية والعملات المشفرة إلى خادم المتسللين.

وأضاف أن تحليل البيانات التي جرى تجميعها حول هجمة «إيفينت بوت» تشير إلى أنها بدأت في مارس الماضي، ولاتزال مستمرة حتى الآن، ولا تبدو هناك دلائل على تراجعها، حيث يقوم المهاجمون بتحديث البرنامج بشكل متكرر كل بضعة أيام، لتزويده بخواص وقدرات جديدة ضارة.

خطة تنكّر

وأضاف دهان أن الباحثين لم يعثروا على أثر لبرنامج «إيفينت بوت» على متجر تطبيقات «أندرويد»، أو ضمن أي حملة برمجيات ضارة نشطة أخرى، من التي يتعرض لها مستخدمو «أندرويد» في الوقت الحالي، مشيراً إلى أن هذا يدل على أن المهاجمين ينفذون خطة تنكر مخادعة ماهرة.

وأفاد بأن الباحثين عثروا على بعض الإشارات التي توحي باستخدامه شعارات ورموز برامج شهيرة مثل «مايكروسوفت وورد»، وبرمجيات «أدوبي»، كوسيلة للتنكر.

وبين دهان أن من أوجه الخطورة في «إيفينت بوت»، أنه يتمكن من الوصول إلى بيانات الأعمال الرئيسة الخاصة بالمؤسسات والشركات، بما في ذلك البيانات المالية، وذلك من خلال من يستخدمون هواتفهم الذكية في العمل عن بعد، لافتاً إلى أن الخطورة هنا تأتي من أن نحو 60% من الأجهزة التي تحتوي أو ترتبط ببيانات المؤسسات، أصبحت أجهزة محمولة، ما يجعل هذا البرنامج وغيره، يمثل خطراً كبيراً على المؤسسات والمستهلكين على حد سواء.

إجراءات وقائية

حدد الباحثون في شركة «سايبريزون» المتخصصة في أمن المعلومات، مجموعة من الإجراءات الوقائية لمواجهة البرنامج الخبيث «إيفينت بوت»، أبرزها تجنب تنزيل التطبيقات غير الموثوق بها، سواء من متجر تطبيقات «أندرويد»، أو أي متجر تطبيقات تابع لأي طرف آخر، لأن العديد من متاجر تطبيقات «الطرف الثالث» لا يقوم بفحص التطبيقات بحثاً عن البرامج الضارة.

ونصح الباحثون بضرورة الحرص على تحديث الهاتف المحمول، بأحدث تحديثات البرامج من مصادرها الشرعية الموثوقة، فضلاً عن التأكد من أن خاصية «غوغل بلاي بروتيكت» قيد التشغيل، والحرص دائماً على التروي في منح الأذونات والصلاحيات المختلفة للتطبيقات العاملة على الهاتف.

وأضافوا أنه عند الشك في أي من تلك التطبيقات، يتعين التحقق من تشغيل توقيع «إيه بي كيه» المشفر، ومراجعة ذلك في مصادر متخصصة في الحماية وفحص التطبيقات، مثل أداة «فيرس توتال»، قبل تثبيت أي تطبيق جديد على الجهاز، وأخيراً استخدام حلول أحد الأنظمة أو الحلول القوية في كشف التهديدات، لتحسين الأمان بالمحمول.