كشفت شركة الأمن السيبراني Group-IB عن جيل جديد من برمجيات حصان طروادة الخبيثة للهواتف التي تعمل بنظام أندرويد يسمى غوستوف Gustuff، وهو مصمم خصيصًا لسرقة الأصول المالية والرقمية من عملاء البنوك الدولية الكبرى ومنصات تبادل العملات الرقمية المشفرة.
وبدأت البرمجية الجديدة في اكتساب شعبية على عالم الجريمة السيبرانية، وذلك بعد أن كانت متواجدة منذ عام تقريبًا.
وحصلت برمجية Gustuff خلال الفترة الماضية على عدة تحديثات، وأصبحت قوة لا يستهان بها من حيث الميزات وقدرات الاستهداف.
وانضمت برمجية حصان طروادة المصرفية لنظام أندرويد إلى صفوف التهديدات المماثلة، مثل Anubis و Red Alert و Exobot و LokiBot و BankBot.
ووفقًا لتحليل Gustuff، فإن بإمكان البرمجية الاحتيال على بيانات الاعتماد وأتمتة المعاملات المصرفية لأكثر من 100 تطبيق مصرفي عالمي و 32 تطبيق للعملات الرقمية.
موضوعات ذات صلة بما تقرأ الآن:
وتشمل الأهداف البنوك المعروفة مثل بنك أمريكا وبنك اسكتلندا وويلز فارغو وجي بي مورغان وكابيتال وان وبنك تي دي وبنك بي إن سي، بالإضافة إلى تطبيقات العملات الرقمية مثل BitPay و Cryptopay و Coinbase و Bitcoin Wallet.
وبالإضافة إلى ذلك، يمكن للبرمجية أيضًا تصيد بيانات اعتماد العديد من تطبيقات الدفع والتراسل الأخرى على أندرويد، مثل باي بال وويسترن يونيون
وإي باي ووول مارت وسكايب وواتساب و Gett Taxi و Revolut وغيرها.
وتعمل برمجية Gustuff مثل جميع برمجيات أحصنة طروادة المصرفية الأخرى الخاصة بنظام أندرويد الموجودة في السوق.
وتستخدم البرمجية الهندسة الاجتماعية لخداع المستخدمين من أجل منحها إمكانية الوصول إلى خدمة Android Accessibility، وهي ميزة مخصصة للمستخدمين ذوي الإعاقة وأداة قوية يمكنها أتمتة تفاعلات واجهة المستخدم المختلفة والنقر على عناصر الشاشة نيابة عن المستخدم.
وتلجأ معظم البرمجيات الخبيثة المصرفية لنظام أندرويد إلى استعمال هذه الخدمة لمنحها صلاحيات المدير وعرض صفحات تسجيل الدخول المزيفة أعلى التطبيقات الأخرى.
وتسيء برمجية Gustuff استخدام هذه الخدمة بشكل مختلف، وبطريقة أكثر تعقيدًا من جميع منافسيها، وتحذر Group-IB من أن برمجية غوستاف تأتي مع وظيفة مؤتمتة بالكامل فريدة من نوعها تهدف إلى الإصابات الجماعية وتحقيق أقصى ربح لمشغليها.
وتعد الميزة الفريدة للبرمجية هي أنها قادرة على أداء خدمة النقل التلقائي ATS، الخاصة بالخدمات المصرفية، بمساعدة خدمة إمكانية الوصول Android Accessibility.
ويشير مصطلح ATS ضمن البرمجيات الضارة إلى قدرة حصان طروادة على إجراء معاملات من جهاز حاسب مستخدم مصاب، بدلاً من سرقة بيانات اعتماد حسابه ثم استخدام بيانات الاعتماد هذه لسرقة الأموال عبر أجهزة الحاسب/الهواتف الذكية الأخرى.
وبفضل خدمة Android Accessibility، فإن برمجية Gustuff طبقت نظام ATS مباشرة على هاتف المستخدم، إذ يمكنها فتح التطبيقات وملء بيانات الاعتماد وتفاصيل المعاملات والموافقة على التحويلات المالية من تلقاء نفسها.
وبالرغم من أن حصان طروادة الجديد متطور أكثر من معظم منافسيه، إلا أنه لم يتم نشره داخل التطبيقات التي تم تحميلها على متجر جوجل بلاي الرسمي، حيث يبدو أنه غير قادر حاليًا على تجاوز عمليات فحص أمان جوجل، على عكس معظم منافسيه.
وتنتشر غوستوف إلى الأجهزة المحمولة الأخرى من خلال قراءة قائمة جهات الاتصال الخاصة بالهاتف المخترق وإرسال رسائل مع رابط لملف تثبيت APK الخاص بها.
وتمتلك برمجية Gustuff ميزات أخرى، مثل إمكانية إيقاف تشغيل Google Play Protect، وهي ميزة أمان متجر جوجل بلاي ضد البرمجيات الضارة، إلى جانب إمكانية جمع البيانات من الأجهزة المصابة، مثل المستندات والصور ومقاطع الفيديو، والقدرة على إعادة ضبط الجهاز لإعدادات المصنع.
أخبار متعلقة :