حيلة TrickMo الجديدة: برمجية خبيثة مصرفية على أندرويد تلجأ إلى TON للتخفي
تضيف نسخة TrickMo جديدة تستهدف المستخدمين في أنحاء أوروبا أوامر جديدة وتستخدم The Open Network للقيادة والتحكم الخفي، ما يرفع تكلفة التعطيل على المدافعين.
مقدمة
نادرًا ما تبقى برمجيات التجسس المصرفي على الأجهزة المحمولة ثابتة طويلًا، لكن أحدث نسخة من TrickMo تُظهر نوعًا أكثر حدة من التكيف. فقد ارتبطت هذه العائلة الآن بحملات تستهدف المستخدمين في أنحاء أوروبا، وتضيف النسخة التي رُصدت حديثًا أوامر جديدة مع استخدام اتصالات قائمة على TON للحفاظ على التواصل مع مشغليها. وتكتسب هذه التركيبة أهمية لأنها تُظهر مجموعة أدوات للمهاجم مصممة ليس فقط لإصابة الهواتف، بل أيضًا لإبقاء تلك الإصابات مفيدة حتى بعد تصاعد الضغط الكاشف.
حقائق سريعة
- TrickMo هي عائلة برمجيات خبيثة مصرفية على أندرويد.
- تم ربط نسخة جديدة بحملات تستهدف المستخدمين في أنحاء أوروبا.
- تُدخل هذه النسخة أوامر جديدة، ما يشير إلى تطوير نشط.
- تستخدم The Open Network، أو TON، لاتصالات القيادة والتحكم الخفية.
- في هذه المرحلة، تظل هوية المشغّل الكاملة ونطاق التأثير غير مؤكدة.
المتن
الأهمية التقنية لا تكمن فقط في أن TrickMo تغيّرت، بل في كيفية تغيّرها. فالأوامر الجديدة عادةً ما تعني أن عائلة البرمجيات الخبيثة يجري توسيعها لمهام جديدة: تلقي التعليمات، تعديل السلوك، أو دعم سير عمل إضافي للمشغّل. عمليًا، يمكن أن يجعل ذلك حصان طروادة أكثر مرونة وأصعب في الرصد باستخدام منطق الكشف القديم.
استخدام TON للقيادة والتحكم الخفي هو الخطوة الأكثر غرابة. إذ يمكن لطبقات الشبكة وسلسلة الكتل العامة أن تمنح المجرمين خيارًا بنيويًا أصعب في التعامل معه كمسألة استضافة عادية. فبدلًا من الاعتماد فقط على مجموعة صغيرة من الخوادم الواضحة، قد ترتبط اتصالات البرمجية الخبيثة بمنصة أوسع لا يستطيع المدافعون حظرها بهذه البساطة. وهذا لا يجعل البرمجية الخبيثة غير مرئية، لكنه قد يعقد الإزالة، والتصفية، والإسناد السريع.
بالنسبة للمدافعين، الدرس هو التفكير بما يتجاوز التطبيق نفسه. فغالبًا ما يكون حصان طروادة المصرفي مجرد الطرف الظاهر من العملية؛ أما الخطر الحقيقي فيكمن فيما يمكنه فعله بعد أن يثبت موطئ قدمه على الجهاز. وحتى من دون تفاصيل مؤكدة حول كل قدرات هذه الموجة، فإن الجمع بين برمجية مصرفية متنقلة، وأوامر جديدة، واتصالات خفية يشير إلى جهد من المشغّل يركز على الاستمرارية والسيطرة.
لم تُثبت المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق.
وتلك الحيطة مهمة. فغالبًا ما تعتمد البرمجيات الخبيثة المصرفية على أندرويد على ثقة المستخدم، وإساءة استخدام الأذونات، والتغيرات السريعة في البنية التحتية. وعندما يبدأ المشغّل باستخدام قنوات أقل تقليدية مثل TON، يحتاج المدافعون إلى نظافة أقوى للأجهزة، وضوابط أشد لتثبيت التطبيقات، ورصد قائم على السلوك بدلًا من الاعتماد فقط على قوائم الحظر.
الخلاصة
يُذكّرنا التطور الأخير لـ TrickMo بأن البرمجيات الخبيثة الحديثة على الأجهزة المحمولة أصبحت مشكلة بنية تحتية بقدر ما هي مشكلة على مستوى الطرفية. والخلاصة الأساسية بسيطة: عندما يستطيع المهاجمون تغيير الحمولة وطبقة الاتصالات معًا، يتعين على المدافعين مراقبة السلسلة بأكملها، لا شاشة الهاتف فقط.
WIKICROOK
- برمجيات خبيثة مصرفية على أندرويد: برمجيات ضارة مصممة لسرقة البيانات المالية أو التحكم في جلسات الخدمات المصرفية على أجهزة أندرويد.
- القيادة والتحكم (C2): القناة التي تستخدمها البرمجية الخبيثة لتلقي التعليمات من المشغلين وإرسال البيانات إليهم.
- نسخة متفرعة: إصدار معدل من البرمجية الخبيثة يضيف أو يزيل أو يغيّر القدرات.
- TON: The Open Network، وهي منصة بلوكتشين وشبكات استُخدمت هنا كأساس لاتصالات البرمجية الخبيثة الخفية.
- منطق الكشف: قواعد أمنية أو تحليلات أو فحوصات سلوكية تُستخدم لرصد النشاط المشبوه.
