عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة حصان طروادة المصرفي روكارولا

حصان طروادة المصرفي روكارولا

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة, حصان طروادة المصرفي
ترجمة الى:

اكتشف باحثو الأمن السيبراني حصان طروادة مصرفيًا جديدًا لنظام أندرويد يُعرف باسم روكارولا، نسبةً إلى بنية التحكم والسيطرة (C2) الخاصة به. صُمم هذا البرنامج الخبيث لاستهداف نطاق واسع من الخدمات المالية، ولديه القدرة على مهاجمة 217 تطبيقًا مصرفيًا وتطبيقًا للعملات المشفرة. وبفضل امتلاكه 137 أمرًا عن بُعد، يمنح روكارولا مجرمي الإنترنت مستوىً استثنائيًا من التحكم في الأجهزة المخترقة.

بمجرد تثبيته، يمكن للبرامج الضارة إزالة حماية شاشة القفل، واعتراض رسائل SMS وإرسالها، والتلاعب بمحتويات الحافظة لإعادة توجيه عمليات تحويل العملات المشفرة، وحتى تعطيل آليات الأمان المدمجة في جوجل.

التوزيع المتخفي من خلال تطبيقات وهمية

يتم توزيع برنامج Rokarolla بشكل أساسي من خلال مواقع ويب خبيثة تتنكر في هيئة تطبيقات شرعية وشائعة، بما في ذلك TikTok وGoogle Chrome.

يقوم الضحايا في البداية بتنزيل تطبيق خبيث ينتحل صفة Google Play Protect. وباستغلال هذا المظهر الموثوق، يقنع التطبيق المستخدمين بمنح أذونات خدمة إمكانية الوصول، مما يسهل تثبيت الحمولة الخبيثة. بعد التنفيذ، يقوم أحد أوامر Rokarolla بتعطيل Play Protect فورًا، مما يُزيل طبقة مهمة من أمان نظام Android.

هجمات التراكب المصممة لسرقة بيانات الاعتماد

تُنفذ سرقة بيانات الاعتماد عبر هجمات تراكب متطورة. يسترجع برنامج روكارولا الخبيث قائمة بالتطبيقات المستهدفة من خادم التحكم الخاص به، ثم يُحمّل صفحات تسجيل دخول HTML مزيفة خاصة بتلك التطبيقات. تُخزّن هذه الواجهات المزيفة محليًا وتُعرض كلما فتح الضحية تطبيقًا مصرفيًا أو تطبيقًا للعملات الرقمية شرعيًا.

صُممت الشاشات المزيفة لالتقاط جميع المعلومات التي يُدخلها المستخدم، بما في ذلك أسماء المستخدمين وكلمات المرور وتفاصيل بطاقات الدفع. وقد لاحظ الباحثون مثالاً واحداً يُحاكي تطبيق "إيماجين" المصرفي بشكل مُقنع.

يستخدم البرنامج الخبيث أيضًا طبقة شاشة قفل مزيفة لنظام أندرويد قادرة على سرقة أرقام التعريف الشخصية (PIN) والأنماط وكلمات المرور. تتيح هذه الخاصية للمهاجمين الحفاظ على الوصول والتحكم حتى عندما يكون الجهاز مقفلاً.

سرقة بيانات الاعتماد، والمراقبة، والاحتيال المالي في حزمة واحدة

تجمع روكارولا بين آليات متعددة للمراقبة والسرقة لزيادة جمع البيانات والمكاسب المالية إلى أقصى حد:

  • تتيح إمكانيات المراقبة الكاملة للرسائل النصية القصيرة وإرسال الرسائل اعتراض رموز المرور لمرة واحدة المستخدمة في المصادقة المصرفية والموافقة على المعاملات.
  • من خلال تعيين نفسه كتطبيق المراسلة والمكالمات الافتراضي للجهاز، يمكن للبرامج الضارة حظر المكالمات الواردة، مما قد يمنع وصول تحذيرات الاحتيال إلى الضحايا.
  • تقوم وظائف تسجيل ضغطات المفاتيح وتسجيل الشاشة المدمجة بتسجيل نشاط المستخدم، بينما يتم جمع جهات الاتصال والإشعارات بشكل مستمر.
  • يقوم التلاعب بالحافظة باستبدال عناوين محافظ العملات المشفرة المنسوخة بعناوين يتحكم بها المهاجم، مما يؤدي إلى تحويل الأموال دون علم الضحية.

    • تقنيات المراقبة الخفية تتجنب الكشف

    على عكس العديد من عائلات البرامج الخبيثة لنظام أندرويد التي تعتمد على تسجيل الشاشة باستخدام تقنية MediaProjection، يتبنى برنامج Rokarolla الخبيث استراتيجية مراقبة أكثر سرية. فبدلاً من إرسال إشعارات تسجيل مرئية، يقوم البرنامج بالتقاط لقطات الشاشة عبر خدمات إمكانية الوصول، ثم يضغطها في ملفات PNG، ويرسلها بشكل فردي إلى مشغليه.

    يقلل هذا الأسلوب من احتمالية اكتشافه مع توفير رؤية تفصيلية للمهاجمين لنشاط المستخدم. وبالمقارنة مع تطبيقات VNC المخفية التي تستخدمها عائلات البرامج الضارة مثل HOOK وKlopatra، فإن نظام المراقبة القائم على لقطات الشاشة في Rokarolla أبسط وأكثر سرية.

    البنية التحتية المرنة واتجاه البرمجيات الخبيثة المتنامي

    صُممت البرمجية الخبيثة لمقاومة محاولات تعطيلها. تتضمن الشيفرة عدة نطاقات تحكم وقيادة احتياطية، ويمكن للمشغلين إضافة خوادم إضافية ديناميكيًا عند الحاجة. ونتيجة لذلك، فإن تعطيل خادم قيادة واحد لا يؤثر بشكل كبير على العملية برمتها.

    تتجاوز مجموعة أوامرها الواسعة 107 أوامر موثقة سابقًا في حصان طروادة المصرفي HOOK، مما يعكس التطور المتزايد لبرامج خبيثة مصرفية تعمل بنظام Android لوحظ طوال عام 2026. وتتبع منهجية الهجوم نمطًا مألوفًا أصبح شائعًا بشكل متزايد:

    • التوزيع عبر برامج تثبيت التطبيقات المزيفة.
    • إساءة استخدام خدمات إمكانية الوصول لتصعيد الامتيازات والتحكم في الجهاز.
    • استخدام طبقات HTML لجمع بيانات الاعتماد والمعلومات الحساسة.

    تظل التدابير الدفاعية بالغة الأهمية

    لأن روكارولا عبارة عن برمجية خبيثة وليست ثغرة أمنية، فلا يوجد تحديث أمني قادر على القضاء على هذا التهديد. وتعتمد الحماية على اتباع ممارسات الأمان المعتمدة لنظام أندرويد.

    يجب تثبيت التطبيقات فقط من متجر جوجل بلاي الرسمي، ويجب إبقاء خدمة جوجل بلاي بروتكت مُفعّلة دائمًا، ويجب التعامل مع أي طلب غير متوقع لأذونات الوصول كعلامة تحذيرية هامة. يُعدّ الوصول إلى ميزات إمكانية الوصول أساس سلسلة هجمات روكارولا، ويُمكّن العديد من قدراتها الأكثر خطورة.

    لا يزال مصدر الإلهام مجهولاً

    حتى وقت كتابة هذا التقرير، لم يتم ربط برنامج روكارولا الخبيث بأي جهة تهديد معروفة أو جماعة إجرامية إلكترونية. ومع ذلك، يُظهر تصميمه بوضوح محاولة متعمدة لتجاوز إجراءات الحماية التي يُشجع مستخدمو أندرويد على الوثوق بها، بما في ذلك حماية بلاي، وحماية شاشة القفل، وغيرها من أدوات التحكم الأمنية المدمجة.

    تُبرز قدرات البرامج الضارة التطور المستمر لبرامج التجسس المصرفية على نظام أندرويد والتطور المتزايد للتهديدات المحمولة ذات الدوافع المالية.

    جار التحميل...