شاشات أندرويد مزيفة، وأموال حقيقية: حيلة الطبقة الشفافة وراء موجة جديدة من أحصنة طروادة المصرفية
يُظهر بنك متنقل يُشار إليه باسم Rokarolla كيف يمكن لصفحات التصيّد، والمطالبات المقلِّدة، وسرقة بيانات الاعتماد بأسلوب الطبقة الشفافة أن تحوّل نقرة واحدة إلى اختراق مالي.
الإغراء عاديٌّ في تصميمه: صفحة تنزيل تبدو كأنها بوابة تطبيق مألوفة، واسم علامة تجارية شائع، ومسار تثبيت سريع. هذه الواجهة التي تبدو طبيعية هي حيث يبدأ الخطر. يُقال إن Rokarolla، وهو حصان طروادة مصرفي لأندرويد وُصِف في تحليل حديث، يستخدم طبقات شفافة مزيفة لالتقاط أرقام التعريف الشخصية وكلمات المرور وبيانات محافظ العملات المشفرة عبر مجموعة واسعة من التطبيقات المالية.
حقائق سريعة
- يُوصَف Rokarolla بأنه حصان طروادة مصرفي لأندرويد.
- يُقال إنه ينتشر عبر مواقع تصيّد تُحاكي بوابات تنزيل التطبيقات.
- انتحلت صفحات الإغراء علامات تجارية مثل TikTok وGoogle Chrome.
- يُقال إن البرمجية الخبيثة تستهدف 217 تطبيقًا مصرفيًا وتطبيقات للعملات المشفرة.
- تشمل مجموعة البيانات المسروقة أرقام التعريف الشخصية وكلمات المرور وبيانات محافظ العملات المشفرة.
كيف تعمل الفخاخ
الفكرة الأساسية هي الخداع في لحظة تسجيل الدخول. فبدلاً من محاولة كسر تطبيق مصرفي مباشرة، يمكن للبرمجيات الخبيثة بأسلوب الطبقة الشفافة أن تضع شاشة مزيفة مقنعة فوق الشاشة الحقيقية. يعتقد الضحية أنه يكتب داخل تطبيق موثوق، لكن ضغطات المفاتيح تذهب إلى الطبقة التي يتحكم بها المهاجم بدلاً من ذلك. وفي نمذجة التهديدات على أندرويد، يرتبط هذا ارتباطًا وثيقًا بالتقاط إدخال واجهة المستخدم على الهاتف - إذ لا تحتاج البرمجية الخبيثة إلى كسر التشفير إذا استطاعت خداع المستخدم لتسليم الأسرار طوعًا.
وهذا مهم لأن سرقة الأموال عبر الهاتف تكون غالبًا انتهازية. يمكن إعادة استخدام مطالبة مزيفة برقم التعريف الشخصي، أو إعادة تعيين كلمة مرور مزيفة، أو شاشة مزيفة لفتح المحفظة عبر العديد من الأهداف. وتشير القيمة المعلنة البالغة 217 تطبيقًا إلى الاتساع لا التخصص، وهو سمة مميزة لحِزم البرمجيات الخبيثة المدفوعة ماليًا. والخطر الأوسع هو أن طبقة شفافة واحدة مقنعة يمكن إعادة توظيفها ضد كثير من الخدمات المختلفة مع تغييرات طفيفة فقط في العلامة التجارية والتوقيت.
وعلى المستوى الدفاعي، لم يُحسم بعد في التفاصيل العامة التسلسل الدقيق للأذونات الذي تستخدمه هذه البرمجية الخبيثة. ومع ذلك، تعتمد هجمات الطبقة الشفافة على أندرويد عمومًا غالبًا على قدرات تسمح للتطبيق بالظهور فوق التطبيقات الأخرى أو بمراقبة تفاعل المستخدم. ولهذا تُعامَل الأذونات المتعلقة بالرسم فوق التطبيقات الأخرى وميزات إمكانية الوصول على أنها عالية الخطورة عندما لا تكون هناك حاجة واضحة لها داخل التطبيق.
حتى وقت كتابة هذا التقرير، لم تُثبت المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق. تدعم المعلومات المتاحة تحليلًا للمخاطر، لا إسنادًا قاطعًا للإهمال أو اختراقًا كاملًا.
لماذا يهم هذا أبعد من اسم برمجية خبيثة واحدة
الدرس الحقيقي ليس أن أندرويد مكسور. بل إن الثقة على الأجهزة المحمولة هشة عندما يُدفَع المستخدمون خارج قنوات التثبيت الرسمية إلى تدفقات تنزيل تشبه الأصل. وبمجرد أن يقبل الجهاز تطبيقًا خبيثًا، قد لا يحتاج المهاجم سوى شاشة واحدة مقنعة لالتقاط بيانات الاعتماد الأهم. وبالنسبة لمحافظ العملات المشفرة، قد يكون ذلك ضارًا على نحو خاص لأن الوصول يكون غالبًا غير قابل للإرجاع.
أما بالنسبة للمدافعين، فالإجراء العملي ممل لكنه فعّال: اجعل التثبيتات داخل المتاجر الموثوقة، وراجع مطالبات الأذونات بعناية، وتعامل مع السلوك القادر على عرض الطبقات الشفافة على أنه مريب ما لم يكن التطبيق يحتاجه بوضوح. كما ينبغي للتطبيقات المالية التي تدعمه أن تمنع الطبقات الشفافة على الشاشات الحساسة. وغالبًا ما لا تكون أفضل وسيلة للدفاع ضد الاحتيال المحمول مجرد عنصر تحكم واحد، بل سلسلة من نقاط الاحتكاك تجعل الهندسة الاجتماعية أصعب في الإكمال.
الخلاصة
Rokarolla تذكير بأن أخطر التهديدات المحمولة لا تصل دائمًا عبر استغلالٍ درامي. أحيانًا تصل عبر صفحة تبدو مألوفة وشاشة مزيفة مُوقّتة لالتقاط كلمة مرور في لحظة الثقة بالذات. في الخدمات المصرفية المحمولة، غالبًا ما تُحسَم المعركة أو تُخسَر عند الواجهة.
TECHCROOK
مفتاح أمان عتادي: مفيد للحسابات التي تدعم تسجيل الدخول المقاوم للتصيّد، إذ يضيف مفتاح الأمان العتادي عامل مصادقة ثانٍ ماديًا بدل الاعتماد فقط على كلمات المرور أو رموز الرسائل القصيرة. لا يُعد هذا حلاً لبرمجيات خبيثة على الهاتف، لكنه يمكن أن يقلل من أثر سرقة بيانات الاعتماد في الخدمات المدعومة. احتفظ بواحد كنسخة احتياطية وسجّله قبل أن تحتاج إليه.
WIKICROOK
- هجوم الطبقة الشفافة: تقنية توضع فيها واجهة خبيثة فوق تطبيق مشروع لالتقاط إدخال المستخدم.
- التقاط إدخال واجهة المستخدم على الهاتف: أسلوب لسرقة بيانات الاعتماد يخدع المستخدمين لإدخال الأسرار في شاشة مزيفة.
- القيادة والسيطرة (C2): البنية التحتية للخادم البعيد المستخدمة لإدارة البرمجيات الخبيثة واستقبال البيانات المسروقة.
- التحميل الجانبي: تثبيت تطبيق من خارج متجر التطبيقات الرسمي، مما يزيد التعرض لملفات APK الخبيثة.
- إساءة استخدام خدمة إمكانية الوصول: سوء استخدام قدرات إمكانية الوصول في أندرويد لمراقبة النشاط على الشاشة أو التلاعب به.




