Image by Freepik
برمجية DroidBot الخبيثة تستهدف المصارف والمنظمات الوطنية في أوروبا
وقت القراءة: 2 دقائق
نُشر يوم ديسمبر 12, 2024
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
ترجمة فريق الترجمة والتوطين خدمات الترجمة والتوطين
كشف محللو الأمن في Cleafy عن برنامج ضار ذكي للوصول عن بعد إلى نظام Android يطلق عليه اسم DroidBot، وقد تم تحديده كجزء من عملية خدمة البرمجيات الخبيثة (MaaS) تنطلق من تركيا.
في عجلة من أمرك؟ إليك الحقائق السريعة!
- درويد بوت هو برنامج ضار جديد من نوع Remote Access Trojan (RAT) خاص بالأندرويد يستهدف 77 كيانًا عالميًا.
- يستخدم MQTT و HTTPS للتواصل السري وتوصيل الأوامر.
- يستغل البرنامج الضار خدمات الوصول الشامل لأندرويد لتسجيل الضغط على المفاتيح والهجمات الزائدة.
تم تتبعه لأول مرة إلى يونيو 2024 وتمت مراقبته بنشاط في أكتوبر، يظهر “درويد بوت” قدرات متقدمة وتأثير جغرافي متنامي، وخاصة في أوروبا.
DroidBot هو نوع من برامج التجسس التي تجمع بين الأساليب مثل الوصول المخفي للشاشة وشاشات تسجيل الدخول الوهمية لسرقة البيانات الشخصية. إنه يرسل البيانات المسروقة من خلال طريقة مصممة للأجهزة الذكية ويتلقى الأوامر من خلال مواقع الويب الآمنة، مما يجعله أصعب للكشف عنه.
تتضمن بعض حيله تسجيل ما تكتب لالتقاط كلمات المرور، وإنشاء شاشات تسجيل دخول وهمية لسرقة معلوماتك، وأخذ لقطات شاشة من هاتفك للتجسس على نشاطك، وحتى التحكم عن بعد في هاتفك لتقليد أفعالك.
يستغل هذا التطبيق خدمات الوصول المتاحة في نظام أندرويد، التي يمنحها المستخدمون غالبًا بدون أن يدركوا ذلك أثناء التثبيت. متنكرًا على أنه تطبيقات غير ضارة مثل أدوات الأمان أو تطبيقات البنوك، يخدع DroidBot الناس ليحملوه.
يستهدف DroidBot 77 منظمة، بما في ذلك البنوك وبورصات العملات المشفرة والكيانات الوطنية. لاحظت الحملات في المملكة المتحدة وفرنسا وأسبانيا وإيطاليا والبرتغال، مع دلائل على التوسع نحو أمريكا اللاتينية.
تشير التفضيلات اللغوية في الشيفرة والبنية التحتية للبرمجيات الخبيثة إلى مطورين يتحدثون التركية.
يظهر التطوير المستمر، مع وجود تناقضات في الفحوصات الجذرية، مستويات التعتيم، وعمليات فك التعبئة عبر العينات المختلفة. تشير هذه التباينات إلى الجهود المبذولة لتحسين البرمجيات الخبيثة وتكييفها للبيئات المختلفة.
يعمل DroidBot ضمن إطار MaaS، حيث يدفع الشركاء للوصول إلى بنيته التحتية. تمكنت Cleafy من تحديد 17 مجموعة تابعة تستخدم نفس خادم MQTT، مما يشير إلى التعاون أو إظهار قدرات البرمجيات الخبيثة.
يتم الإعلان عن الخدمة في المنتديات الروسية للقراصنة، وتتضمن الميزات المتقدمة مثل أنظمة النقل الآلي (ATS) للتزوير المالي وتكلف الشركاء 3000 دولار شهريا.
تعد تعقيدات DroidBot، المدعومة بروتينات التشفير والاتصالات القائمة على MQTT، تجعلها تهديدًا إلكترونيًا هامًا. يثير نموذجها MaaS، والتطوير المستمر، وقدرتها على تجاوز التوثيق الثنائي المعاملات القلق بين المؤسسات المالية والحكومات.
وبما أن DroidBot تواصل التطور، يشدد خبراء الأمن على اليقظة وتعزيز التدابير الوقائية للمؤسسات في المناطق المتأثرة.
القصة السابقة
أحدث المقالات 
اترك تعليقًا
إلغاء