برز نوع جديد متطور من برمجيات أندرويد الخبيثة يُعرف باسم “Wonderland” كتهديد كبير لمستخدمي أوزبكستان ومنطقة آسيا الوسطى بشكل عام. تتخصص هذه البرمجية في سرقة رسائل SMS واعتراض كلمات المرور ذات الاستخدام الواحد، مما يمثل تصعيداً في التهديدات التي تستهدف الأنظمة المالية عبر الأجهزة المحمولة.
تم اكتشاف هذا البرنامج الخبيث المتقدم لأول مرة في أكتوبر 2025، ويظهر قدرات تقنية تتجاوز بكثير النسخ الإقليمية السابقة. يعمل برمجية Wonderland الخبيثة عبر سلسلة إصابة متعددة المراحل تبدأ بتطبيقات إسقاط تبدو بريئة. يتم إخفاء هذه التطبيقات كبرامج أو ملفات وسائط شرعية، مما يجعلها تبدو موثوقة للمستخدمين غير المشتبه بهم.
برمجية Wonderland الخبيثة تهدد أمن مستخدمي أندرويد
بمجرد تثبيتها، تقوم التطبيقات الإسقاطية بتشغيل حمولة سرقة الرسائل النصية SMS الفعلية بصمت دون الحاجة إلى تفاعل إضافي من المستخدم. تزيد طريقة التسليم السرية هذه بشكل كبير من معدلات نجاح الإصابة مع تجنب آليات الكشف الأمني التقليدية.
ما يجعل Wonderland خطيراً بشكل خاص هو استخدامه لتقنيات تهرب متقدمة. تتضمن البرمجية الخبيثة إجراءات حماية مدمجة ضد التحليل، حيث تكتشف ما إذا كانت تعمل على بيئات محاكاة، أو أجهزة تم عمل “روت” لها، أو بيئات معزولة. عند اكتشاف هذه الظروف، تنتهي البرمجية الخبيثة فوراً، مما يمنع الباحثين من دراسة سلوكها.
بالإضافة إلى ذلك، يستخدم الكود تشفيراً ثقيلاً، بما في ذلك سلاسل طويلة من الأحرف المتكررة، مما يجعل الهندسة العكسية صعبة للغاية على محللي الأمن. حدد محللو Group-IB وقاموا بتوثيق قدرات البرمجية الخبيثة من خلال بحث مكثف وجمع معلومات استخبارية عن التهديدات.
آلية القيادة والتحكم ثنائية الاتجاه
لاحظ الباحثون أن Wonderland هي أول برمجية سرقة SMS واسعة الانتشار لنظام أندرويد في أوزبكستان تدعم اتصالات حقيقية ثنائية الاتجاه للقيادة والتحكم. على عكس البرمجيات الخبيثة السابقة التي كانت تعمل بنموذج إرسال أحادي الاتجاه، تطبق Wonderland بروتوكول WebSocket للاتصال المستمر ثنائي الاتجاه مع خوادم المهاجمين.
يكمن الابتكار الحقيقي وراء Wonderland في بنيتها التحتية للقيادة والتحكم. يمكن للبرمجية الخبيثة استقبال أوامر في الوقت الفعلي من المهاجمين، مما يتيح التنفيذ الديناميكي للإجراءات الضارة. تدعم طلبات USSD عشوائية، مما يسمح للمهاجمين بالتلاعب بالرموز الخاصة بشركات الاتصالات فورياً بدلاً من الاعتماد على القيم المحددة مسبقاً.
تمكّن هذه المرونة المهاجمين من تمكين إعادة توجيه المكالمات وتنفيذ تقنيات احتيال متقدمة. ترسل البرمجية الخبيثة أيضاً رسائل SMS عشوائية وتمنع إشعارات الدفع، مما يخفي بفعالية تنبيهات الأمان وكلمات المرور ذات الاستخدام الواحد أثناء محاولات الاحتيال المالي النشطة.
يكشف التنفيذ التقني عن فهم متطور لخفايا نظام أندرويد. يحافظ اتصال WebSocket على اتصال مستمر، مما ينشئ أداة وصول عن بعد بدلاً من مجرد برنامج لسرقة البيانات. عند اكتشاف البرمجية الخبيثة لأوامر واردة، تعالجها من خلال معالج يفسر الطلبات وينفذ العمليات المقابلة على الجهاز المخترق.
يجعل تشفير الكود من الصعب للغاية على المحللين تحديد معالجات الأوامر المحددة. تشير أبحاث Group-IB إلى أن الجماعات الإجرامية التي تدير البنية التحتية للبرمجيات الخبيثة حققت أكثر من 2 مليون دولار في عام 2025 فقط، مما يؤكد التأثير الكبير في العالم الواقعي.
يتم توزيع البرمجية الخبيثة بشكل أساسي عبر Telegram، مستغلة جلسات المستخدم المخترقة وتكتيكات الهندسة الاجتماعية لخداع الضحايا. يجب على المؤسسات والمستخدمين تنفيذ مراقبة أمنية شاملة وتجنب تثبيت التطبيقات من مصادر غير موثوقة للحماية من هذا التهديد المتطور.