سلط تقرير جديد الضوء على برمجية خبيثة تستهدف هواتف أندرويد على مستوى 16 دولة حول العالم، للاستيلاء على بيانات حساسة لحسابات مستخدمين في أكثر من 400 تطبيق بنكي وخدمات للعملات المشفرة.
وبحسب التقرير المنشور على موقع Cyble، فإن البرمجية الخبيثة، والتي تحمل اسم GodFather، تحتال على الضحية من خلال إنشاء صفحة مزيفة فوق صفحة تسجيل الدخول الخاصة بالتطبيقات البنكية وخدمات تداول العملات المشفرة، وبالتالي سيكون من السهل الاستيلاء على بيانات تسجيل الدخول الخاصة بحساباتهم.
واكتشف برمجية "GodFather"محللون في شركة Group-IB، والذين صنفوها كخليفة لبرمجية الاحتيال البنكي Anubis التي تراجعت قدراتها في تخطي الدفاعات الأمنية المتطورة لنظام أندرويد.
يُذكر أن مجموعة ThreatFabric للأمن المعلوماتي، كانت أول من اكتشف البرمجية الخبيثة في مارس 2021، ومنذ ذلك الحين وحتى الآن، تطورت القدرات البرمجية الخاصة بها.
تقرير "سايبل" الجديد أكد وجود ارتفاع مطرد في نشاط "GodFather"، إذ رصد ظهور البرمجية في صورة نسخة مزيفة من تطبيق شهير لتشغيل الموسيقى في تركيا، ونجحت في حصد 10 ملايين تحميل على متجر جوجل بلاي.
فريق "Group-IB" البحثي اكتشف انتشار محدود للبرمجية الخبيثة داخل التطبيقات على متجر أندرويد الرسمي للتطبيقات، على الرغم من ذلك فإن قنوات توزيع "GodFather" غير معروفة حتى الآن.
أشار التقرير الجديد إلى أن حوالي 215 تطبيقاً من التطبيقات التي أصيبت بالبرمجية الخبيثة هي تطبيقات بنكية، منهم 49 تطبيقاً في الولايات المتحدة، و31 تطبيقاً في تركيا و30 تطبيقاً في إسبانيا و22 تطبيقاً في كندا و20 تطبيقاً في فرنسا و19 تطبيقاً في ألمانيا و17 تطبيقاً في بريطانيا.
إلى جانب تطبيقات البنوك، فإن حوالي 110 تطبيقات تابعة لمنصة تداول العملات المشفرة، تم استهدافها بالبرمجية الخبيثة، إضافة إلى 94 تطبيقاً من خدمات محافظ العملات الرقمية.
والمثير للجدل أن الباحثين اكتشفوا أن البرمجية الخبيثة تراقب لغة الهاتف الأساسية، إذ أنه يوقف عمله فوراً في حال اكتشف أن لغة الهاتف هي إحدى اللغات التالية: الروسية، الأرمينية والأزربيجانية والبيلاروسية والكازاخستانية والأوزباكية والمولدوفانية والقيرجيستانية والطاجيكية.
أسلوب البرمجية الخبيثة
البرمجية الخبيثة بمجرد تثبيتها على الهاتف، تبدأ في محاكاة خدمة جوجل للحماية "جوجل بروتيكت"، وتصل إلى مرحلة متقدمة لإقناع الضحية من خلال إظهار شاشة تحاكي إجراء عملية مسح على الهاتف للتأكد من أمن البيانات على متنه.
وخلال عملية المسح، تطلب البرمجية من المستخدم الحصول على إذن خدمات إمكانية الوصول Accessibility، وبمجرد الحصول على هذا الإذن، تبدأ في إعطاء نفسها كافة الموافقات المطلوبة لإتمام مهمتها على هاتف الضحية.
وتتمكن برمجية "GodFather" بعد الحصول على الموافقة، من التحكم في الوصول إلى الرسائل النصية SMS وتسجيل الشاشة، والوصول إلى جهات الاتصال، وإجراء المكالمات والتحكم في الذاكرة الخارجية، وفوق كل ذلك يكون بإمكان البرمجية الخبيثة الوصول إلى الأكواد الصالحة للاستخدام لمرة واحدة من تطبيقات تأكيد الهوية، مثل Google Authenticator.