حملة هجوم البرمجيات الخبيثة على الهواتف المحمولة من أناتسا

كشف باحثو الأمن السيبراني عن موجة جديدة من هجمات البرمجيات الخبيثة المصرفية على نظام أندرويد، مُدبَّرة باستخدام حصان طروادة أناتسا. عاد هذا التهديد المتطور، المعروف أيضًا باسم TeaBot أو Toddler، إلى الظهور بحملة تستهدف المستخدمين في الولايات المتحدة وكندا، مستخدمًا أساليب خادعة من خلال تطبيقات تبدو شرعية ومتاحة على متجر جوجل بلاي.

البرامج الضارة متخفية في صورة أدوات مستندية

تتمحور الحملة حول تطبيق مُتخفٍّ على هيئة أداة مساعدة تُسمى "عارض المستندات - قارئ الملفات" (حزمة APK: com.stellarastra.maintainer.astracontrol_managerreadercleaner). يُظهر التطبيق نفسه كأداة PDF غير ضارة، وقد نشره مطور يُدعى "محاكي السيارات الهجينة، الانجراف والسباقات"، وهو اسمٌ يُثير الشكوك في حد ذاته. بمجرد أن حقق التطبيق عددًا كبيرًا من التنزيلات، قام أحد التحديثات بتضمين شيفرة خبيثة تُنزّل وتُثبّت برنامج Anatsa على أجهزة الضحايا.

تم إطلاق هذا التطبيق تحديدًا في 7 مايو 2025، ووصل إلى المركز الرابع في فئة أفضل الأدوات المجانية بحلول 29 يونيو 2025. وبحلول ذلك الوقت، كان قد جمع ما يقرب من 90,000 عملية تنزيل قبل إزالته. ومنذ ذلك الحين، أكدت جوجل إزالة هذا التطبيق وحساب المطور المرتبط به من متجر Play.

استراتيجيات خفية ودليل لعب مألوف

وتتبع حملة أناتسا دورة مجربة ومختبرة:

نشر التطبيق الشرعي : قم بتحميل تطبيق نظيف وعملي بالكامل إلى متجر Play.

العدوى المتأخرة : بعد بناء قاعدة كبيرة من المستخدمين، قم بإرسال تحديث يحتوي على تعليمات برمجية ضارة.

التثبيت الصامت : يتم تثبيت البرامج الضارة كتطبيق منفصل، بعيدًا عن الأنظار من الحزمة الأصلية.

تعيين الهدف : يتلقى قائمة بالمؤسسات المالية التي يجب مهاجمتها، والتي يتم جلبها بشكل ديناميكي من خادم خارجي.

هذا الهجوم متعدد المراحل جزء من استراتيجية نجاح أناتسا الراسخة. فمن خلال سكونه في مراحله الأولى وتفعيله فقط بعد اكتساب الثقة والجذب، تتجنب الحملة الكشف المبكر وتعزز تأثيرها خلال فترة توزيع قصيرة وفعّالة، في هذه الحالة، من 24 إلى 30 يونيو 2025.

قدرات متقدمة لمكافحة الاحتيال المالي

بمجرد التثبيت، يتيح Anatsa مجموعة من الأنشطة الضارة التي تهدف إلى الاستغلال المالي:

• سرقة بيانات الاعتماد من خلال هجمات التراكب وتسجيل لوحة المفاتيح.

تخدع هذه التراكبات المستخدمين وتجعلهم يعتقدون أن تطبيق البنك الخاص بهم معطل مؤقتًا للصيانة، بينما في الواقع، يتم سرقة بيانات الاعتماد واستخدامها في معاملات غير مصرح بها.

التطور العالمي لتهديد أناتسا

رُصد برنامج أناتسا لأول مرة عام ٢٠٢٠، وقد تطور بشكل ملحوظ. ففي أوائل عام ٢٠٢٤، استهدف المستخدمين في سلوفاكيا وسلوفينيا وجمهورية التشيك باستخدام أساليب مشابهة، حيث تحولت تطبيقاته غير الضارة إلى تطبيقات خبيثة بعد أسابيع من إطلاقه الأولي. وتُبرز قدرة البرنامج الخبيث على التكيف وتوسيع نطاقه الجغرافي تهديده المستمر لعملاء الخدمات المصرفية عبر الهاتف المحمول حول العالم.

تعكس الحملة الأخيرة في أمريكا الشمالية الاهتمام المتزايد الذي توليه شركة أناتسا للأمن السيبراني بالمؤسسات المالية الأمريكية والكندية، فضلاً عن قدرتها على التحول بسرعة وإعادة استخدام أساليب الهجوم الناجحة مع تعديلات طفيفة.

التدابير الوقائية واستجابة الصناعة

وتحث المنظمات العاملة في قطاع الخدمات المالية على:

• راقب أي نشاط مشبوه ينشأ من الأجهزة المحمولة.
• تثقيف العملاء حول مخاطر تراكبات التطبيقات المزيفة والتحديثات غير المصرح بها.
• تعزيز آليات المصادقة للكشف عن الاحتيال حتى عندما يتم المساس ببيانات الاعتماد.

العلامات الحمراء الرئيسية للمستخدمين:

• التطبيقات التي تطلب أذونات غير عادية بعد التحديثات.
• ظهور مفاجئ لطبقات "الصيانة" على تطبيقات الخدمات المصرفية.
• تناقضات في اسم مطور التطبيق أو فئة التطبيق.

وذكرت شركة جوجل أن التطبيقات الخبيثة المتورطة في هذه الحملة قد تمت إزالتها من متجر Google Play.

الأفكار النهائية

تُعدّ حملة أناتسا تذكيرًا صارخًا بمدى سرعة استغلال الثقة في الأنظمة الرقمية. فمن خلال اندماجها في بيئة متجر جوجل بلاي الموثوقة، نجحت البرمجية الخبيثة في اختراق آلاف الأجهزة. ويبقى التثقيف المستمر، والمراقبة الأمنية الاستباقية، وجرعة كافية من الشك، أفضل دفاع ضد هذه التهديدات المتطورة.