ظهر برنامج SeedSnatcher الخبيث كتهديد متقدم يستهدف مستخدمي العملات المشفرة، حيث صمم خصيصاً لسرقة أكواد استعادة المحافظ الرقمية وتنفيذ أوامر خبيثة عن بعد. يتم توزيع هذا البرمجيات عبر تطبيق Telegram تحت اسم “Coin”.
يُعرف البرنامج الضار باسم “com.pureabuladon.auxes” ويعمل ضمن حملة منسقة ذات قدرات مقلقة تتجاوز مجرد سرقة البيانات، مما يشكل خطراً على الأصول الرقمية للمستخدمين.
الحملة المنسقة لبرمجية SeedSnatcher الخبيثة
تبدأ طريقة الهجوم عبر نموذج توزيع خادع، حيث تستخدم فرق ترويجية معرفات وكلاء فريدة لتتبع عمليات التثبيت وإدارة الضحايا. يهدف هذا الأسلوب إلى إخفاء النشاط الخبيث وزيادة نطاق الوصول.
تتمثل خطورة SeedSnatcher في نهجه المتعدد الأوجه لتجاوز إجراءات الأمان. يبدأ البرنامج بطلب أقل عدد ممكن من الأذونات، مثل الوصول إلى الرسائل القصيرة، ولكن بمجرد تثبيته، يعمل على تصعيد مستوى الامتيازات تدريجياً للوصول إلى المعلومات الحساسة.
هذا التصعيد التدريجي للأذونات يقلل من شكوك المستخدم ويؤسس لوجود ثابت للبرنامج على الجهاز المصاب، مما يجعله أكثر صعوبة في الكشف.
التقنيات المتقدمة المستخدمة في SeedSnatcher
تكشف البنية التقنية لبرنامج SeedSnatcher عن خبرة عميقة في استغلال نظام أندرويد. يستخدم البرنامج تحميل الفئات الديناميكي، وحقن محتوى WebView بشكل متخفٍ، وتشفير تعليمات القيادة والتحكم كأرقام صحيحة بدلاً من أسماء عمليات وصفية.
هذا التشفير الرقمي يعيق أنظمة الكشف الأمني بشكل كبير. لاحظ محللو الأمن في Cyfirma أن البرنامج يحتفظ باتصال WebSocket مستمر مع خادم القيادة الخاص به، مما يتيح الاتصال ثنائي الاتجاه في الوقت الفعلي لتنفيذ المهام عن بعد.
يشير وجود العديد من الأجهزة المخترقة بالفعل في لوحة التحكم الخاصة بهم إلى نظام بيئي تشغيلي نشط، بدلاً من مشروع تجريبي. هذا المستوى من التطور يشير إلى منظمة ذات موارد كبيرة وخبرة في تنفيذ هجمات مالية واسعة النطاق.
سرقة عبارات استعادة المحافظ الرقمية
تكمن أخطر قدرة لبرنامج SeedSnatcher في إنشاء واجهات محافظ عملات مشفرة وهمية مقنعة، تدفع المستخدمين إلى الكشف عن عبارات الاستعادة الخاصة بهم. يتضمن البرنامج نظام رسم خرائط يوجه المستخدمين إلى شاشات مزيفة تطابق محافظهم المفضلة، بما في ذلك Trust Wallet و TokenPocket و imToken و MetaMask و Coinbase Wallet وغيرها.
عندما يفتح المستخدم أحد هذه التطبيقات المشروعة، تسمح إذن التراكب الخاص بالبرنامج بعرض شاشة استيراد وهمية تبدو متطابقة تقريباً مع واجهة المحفظة الحقيقية. تُظهر البنية البرمجية تفاصيل دقيقة، حيث يقوم البرنامج بالترميز الثابت لاسم الحزمة المشروع (com.wallet.crypto.trustapp) ويستخدم عناصر واجهة مستخدم مطابقة لزيادة الخداع.
آلية التحقق من صحة عبارات المرور
ما يجعل هذا الهجوم فعالاً بشكل خاص هو فرض التحقق من صحة قاموس BIP39، الذي يضمن التقاط عبارات المرور المنسقة بشكل صحيح فقط. يقوم البرنامج بتحميل قائمة كلمات BIP39 الكاملة من أصول التطبيق، ويتحقق من صحة كل كلمة مدخلة في الوقت الفعلي، مما يمنع أخطاء الكتابة ويضمن وصول عبارات المرور الصالحة والقابلة للاستخدام فوراً إلى خادم المهاجم.
تؤدي آلية التحقق هذه إلى زيادة معدل نجاح اختراق المحفظة بشكل كبير، حيث يتلقى المهاجمون رموز استرداد جاهزة للاستيراد دون أي محاولات فاشلة. بمجرد التقاطها، يتم استخلاص هذه العبارات على الفور إلى البنية التحتية للمهاجم، مما يمنح وصولاً كاملاً إلى مقتنيات العملة المشفرة للضحية ويتيح عمليات تحويل أموال غير مصرح بها.
إن الطبيعة المنظمة لهذه العملية، إلى جانب قدرتها المثبتة على حصاد محافظ العملات المشفرة النشطة، تجعل من SeedSnatcher أحد أخطر برامج التجسس على الأجهزة المحمولة التي تستهدف مستخدمي الأصول الرقمية حالياً.