كشف باحثون أمنيون عن ظهور برمجية خبيثة مصرفية جديدة تُعرف باسم “Sturnus”، تشكل تهديدًا متزايدًا لمستخدمي الهواتف الذكية في أوروبا. تتخصص هذه البرمجية في سرقة البيانات الحساسة، بما في ذلك رسائل التطبيقات المشفرة، مما يثير قلقًا كبيرًا بشأن أمن الاتصالات الشخصية والمالية.
تم اكتشاف أن هذا البرنامج الخبيث المتطور لأنظمة أندرويد قادر على التقاط الرسائل المشفرة من تطبيقات المراسلة الشائعة مثل واتساب و تليجرام وسيجنال، وذلك من خلال الوصول المباشر إلى محتوى شاشة الجهاز بعد فك تشفيره. هذه القدرة تزيد من خطورة البرمجيات الخبيثة المصرفية.
تعتمد البرمجية الخبيثة على حصد بيانات الاعتماد المصرفية عبر شاشات تسجيل دخول وهمية مقنعة، والتي تقلّد بدقة التطبيقات المصرفية الشرعية. وتمثل قدرة “Sturnus” على تو وفير سيطرة كاملة على الجهاز للمهاجمين، ما يسمح لهم بمراقبة جميع أنشطة المستخدم دون الحاجة إلى تفاعل فعلي، تطورًا خطيرًا في تهديدات الخدمات المصرفية عبر الهاتف.
يستطيع المهاجمون حقن رسائل نصية، واعتراض الاتصالات، وحتى إطفاء شاشة الجهاز أثناء إجراء معاملات احتيالية في الخلفية، تاركين الضحايا غير مدركين تمامًا للسرقة التي تحدث على أجهزتهم المخترقة.
تهديد “Sturnus” البرمجي المصرفي
حدد محللو الأمن السيبراني في Threat Fabric أن “Sturnus” عبارة عن برمجية خبيثة خاصة، لا تزال في مراحلها الأولى من الاختبار. وتتواجد حملات لاستهداف مباشر للمؤسسات المالية في جنوب ووسط أوروبا.
على الرغم من أن البرمجية لا تزال قيد النشر المحدود، يؤكد الباحثون أنها تعمل بكامل طاقتها وأكثر تطوراً من العديد من البرمجيات الخبيثة المعروفة من حيث بروتوكول الاتصال ودعم الأجهزة.
هذا المزيج من الميزات المتقدمة والتركيز الجغرافي المستهدف يشير إلى أن المهاجمين يعملون على تحسين أدواتهم قبل شن عمليات أوسع نطاقًا. وتظهر مشهد التهديدات الحالي أن “Sturnus.A” يعمل مع استهداف إقليمي محدد، باستخدام قوالب تراكب مخصصة تستهدف الضحايا في جنوب ووسط أوروبا.
يُظهر المشغلون للبرمجية الخبيثة تركيزًا واضحًا على اختراق منصات المراسلة الآمنة، واختبار قدرة البرمجية الخبيثة على التقاط الاتصالات الحساسة عبر بيئات مختلفة. وتشير العينات القليلة المكتشفة حتى الآن، جنبًا إلى جنب مع الحملات المتقطعة وغير المستمرة, إلى أن العملية لا تزال في مراحل التقييم والضبط.
بروتوكول الاتصال المتطور
استلهمت البرمجية الخبيثة اسمها من هيكل الاتصال المعقد الذي يعتمد عليه، حيث يشبه أنماط الطائر “Sturnus vulgaris” المعروف بتشغيله السريع وغير المنتظم الذي يقفز بين الصفير والنقرات والتقليد. “Sturnus” تحاكي هذا النمط الفوضوي من خلال مزيجها المتدرج من الاتصالات النصية العادية، وRSA، وAES التي تتغير بشكل غير متوقع بين الرسائل البسيطة والمعقدة.
تقوم البرمجية الخبيثة بإنشاء اتصال مع خادم القيادة والتحكم الخاص بها باستخدام قنوات WebSocket (WSS) و HTTP، حيث تنقل مزيجًا من البيانات المشفرة وغير المشفرة، بشكل أساسي عبر اتصالات WebSocket.
تبدأ المصافحة التقنية بطلب HTTP POST حيث تسجل البرمجية الخبيثة الجهاز باستخدام حمولة عنصر نائب. يستجيب الخادم بمعرف عميل UUID ومفتاح عام RSA. ثم تقوم البرمجية الخبيثة بإنشاء مفتاح AES محلي بحجم 256 بت، وتقوم بتشفيره باستخدام RSA/ECB/OAEPWithSHA-1AndMGF1Padding، وترسل المفتاح المشفر مرة أخرى أثناء تخزين مفتاح AES النصي العادي على الجهاز بتنسيق Base64.
بمجرد اكتمال تبادل المفاتيح، يتم تأمين جميع الاتصالات اللاحقة من خلال AES/CBC/PKCS5Padding بمفتاح تشفير بحجم 256 بت. وتقوم البرمجية الخبيثة بإنشاء متجهات تهيئة جديدة بحجم 16 بايت لكل رسالة، وتسبقها بحمولات مشفرة، وتغلف النتائج في بروتوكولات ثنائية مخصصة تحتوي على رؤوس نوع الرسالة، وبيانات طول الرسالة، ومعرفات عميل UUID. ويُظهر نظام التشفير المتطور هذا خبرة المطورين في مجال الاتصالات الآمنة مع الحفاظ على الوظيفة الخبيثة.