كشف خبراء الأمن السيبراني عن ظهور برمجية خبيثة جديدة لأنظمة أندرويد تُعرف باسم “بيرسيوس” (Perseus)، وتشكل تطوراً مقلقاً في عالم البرمجيات الخبيثة للهواتف المحمولة.
تستند هذه البرمجية إلى الشيفرة المصدرية المسربة لتطبيق “سيربروس” (Cerberus) وتستلهم مباشرة من “فينيكس” (Phoenix)، حيث تعمل على تحسين وتوسيع قدرات البرمجيات السابقة.
تجمع “بيرسيوس” بين سرقة بيانات الاعتماد، والمراقبة اللحظية للجهاز، وقدرة نادرة على قراءة الملاحظات الشخصية بصمت من الجهاز المصاب، مما يجعلها واحدة من أكثر التهديدات تعقيدًا لنظام أندرويد في الوقت الحالي.
برمجية “بيرسيوس” الخبيثة تهدد مستخدمي أندرويد
تنتشر البرمجية الخبيثة “بيرسيوس” من خلال حملات تستهدف المستخدمين بشكل أساسي في تركيا وإيطاليا، لكن نطاق وصولها يمتد ليشمل بولندا، ألمانيا، فرنسا، الإمارات العربية المتحدة، البرتغال، بالإضافة إلى منصات العملات المشفرة.
يقوم المهاجمون بتوزيعها عبر تطبيقات بث تلفزيوني عبر الإنترنت (IPTV) وهمية، وهي تكتيك يتجاوز متجر Google Play مستغلاً ألفة المستخدمين مع تثبيت ملفات APK يدوياً.
تتنكر البرمجية في شكل خدمة بث شرعية، مما يقلل من شكوك المستخدمين ويحسن معدلات الإصابة. كما يتم استخدام تطبيق “دروبر” (Dropper) لتجاوز قيود التثبيت في أندرويد 13 فما فوق، مما يجعل عملية الإصابة أصعب بكثير على الاكتشاف.
حدد محللو ThreatFabric البرمجية كجزء من حملة نشطة، ولاحظوا ارتباطاتها بالبنية التحتية المشتركة مع عائلات برمجيات خبيثة معروفة أخرى، بما في ذلك “ميدوسا” (Medusa) و”كلوپاترا” (Klopatra).
تم أخذ اسم البرمجية مباشرة من لوحة تحكم القيادة والتحكم (C2) التي لوحظت خلال تحليل عدة حملات، مما يؤكد أنها تهديد متعمد ومصمم لغرض معين.
حدد المحللون أيضاً فرعين رئيسيين: أحدهما مكتوب باللغة الإنجليزية ويحتوي على ميزات تصحيح شاملة، والآخر نسخة أكثر سراً باللغة التركية، وكلاهما يستهدفان بشكل فعال المؤسسات المالية وبيانات المستخدمين عبر مناطق متعددة.
آلية عمل “بيرسيوس” وقدراتها
بمجرد تثبيتها، تطلب “بيرسيوس” أذونات خدمة الوصول (Accessibility Service)، والتي تشكل العمود الفقري لعملياتها. تتيح هذه الأذونات للبرمجية مراقبة الشاشة، واعتراض إدخالات المستخدم، ومحاكاة تفاعلات اللمس دون إظهار أي علامات نشاط مرئية.
تشن البرمجية هجمات تراكب (Overlay attacks) عن طريق عرض صفحات تسجيل دخول وهمية فوق تطبيقات البنوك الشرعية، بينما تسجل قدرتها على تسجيل ضغطات المفاتيح (Keylogging) كل ما يكتبه المستخدم.
عند دمجها مع ميزات التحكم عن بعد، تمنح هذه القدرات المهاجم سيطرة تفاعلية كاملة على الجهاز المخترق، مما يسمح له بإجراء عمليات احتيال وتفويض معاملات دون علم الضحية.
يصعب الاستهانة بالتأثير الواسع لـ “بيرسيوس”. تستهدف أكثر من 50 مؤسسة عبر ثماني دول وتسعة منصات للعملات المشفرة، مما يمثل تهديدًا ماليًا خطيرًا.
توضح قدرتها على الاستيلاء الكامل على الجهاز (Full Device Takeover) مع البقاء مخفية مدى تقدم برمجيات أندرويد المصرفية الخبيثة الحديثة.
قراءة الملاحظات: قدرة تفتقر إليها برمجيات أخرى
ما يميز “بيرسيوس” عن معظم برمجيات أندرويد المصرفية الخبيثة هو قدرتها على استهداف تطبيقات تدوين الملاحظات على جهاز الضحية.
يقوم العديد من الأشخاص بتخزين كلمات المرور، وعبارات استرداد العملات المشفرة، وتفاصيل حساباتهم المالية في تطبيقات الملاحظات، غالباً دون إدراكهم للمخاطر.
تستغل “بيرسيوس” ذلك من خلال أمر يسمى scan_notes، والذي يحدد تطبيقات الملاحظات المثبتة ويفتحها بصمت لقراءة محتواها المخزن، كل ذلك دون أي تدخل من المستخدم.
تنفذ “بيرسيوس” هذه العملية باستخدام خدمات الوصول في أندرويد للتنقل عبر واجهة كل تطبيق بشكل مستقل.
تنتقل عبر الملاحظات الفردية، وتشغل إجراءات النقر لفتح الإدخالات، وتسجل النص، ثم تقوم بإجراء حركة تنقل للخلف قبل الانتقال إلى الملاحظة التالية.
تعمل هذه الروتينية بالكامل بصمت في الخلفية دون أي إشارة مرئية للضحية. يتم تسجيل جميع بيانات الملاحظات الملتقطة وإعادة توجيهها إلى خادم القيادة والتحكم الخاص بالمهاجم جنباً إلى جنب مع بيانات الاعتماد المسروقة الأخرى ومعلومات الجهاز.
تشمل التطبيقات التي تراقبها “بيرسيوس” Google Keep، وXiaomi Notes، وSamsung Notes، وColorNote، وEvernote، وMicrosoft OneNote، وSimple Notes Pro، وSimple Notes.
يعكس هذا الاستهداف الواسع جهداً محسوباً لاستخراج بيانات شخصية ومالية عالية القيمة يفترض الضحايا عادة أنها آمنة على أجهزتهم.
يجب على المستخدمين تجنب تثبيت التطبيقات من خارج متاجر التطبيقات الرسمية والتأكد من تفعيل Google Play Protect. يعد الحفاظ على أجهزة أندرويد محدثة بأحدث بقع الأمان خطوة حاسمة في تقليل التعرض لتهديدات مثل “بيرسيوس”.
الأهم من ذلك، يجب على المستخدمين عدم تخزين كلمات المرور، أو عبارات استرداد المحافظ، أو بيانات الاعتماد الحساسة داخل تطبيقات تدوين الملاحظات، حيث يمكن للبرمجيات الخبيثة التي تسيء استخدام خدمات الوصول الوصول إلى تلك البيانات دون تنبيه مالك الجهاز.