كشفت تقارير أمنية حديثة عن ظهور تهديد جديد ومتطور يستهدف مستخدمي أجهزة أندرويد، يعرف ببرمجية deVixor الخبيثة. وتعتبر هذه البرمجية تطوراً ملحوظاً في مشهد الهجمات الإلكترونية على الهواتف الذكية، حيث تجمع بين سرقة البيانات المالية، والتحكم في الجهاز، والابتزاز.
منذ أكتوبر 2025، تم رصد أكثر من 700 عينة لهذه البرمجية، مما يشير إلى حملة نشطة ومتنامية تعمل باستمرار على تطوير قدراتها. وتسلط هذه الزيادة الضوء على أهمية الحذر ومواكبة آخر التهديدات السيبرانية.
برمجية deVixor الخبيثة: أساليب التوزيع والهجوم
تعتمد برمجية deVixor الخبيثة على استراتيجية توزيع مدروسة، حيث تستخدم مواقع إلكترونية وهمية انتحلت صفة شركاتسيارات مرموقة. تجذب هذه المواقع الضحايا بعروض مغرية لخصومات على السيارات، لتحثهم على تحميل ملف APK خبيث. بعد تثبيت هذا الملف، تتمكن البرمجية الخبيثة من التسلل إلى الجهاز وبدء عملياتها الضارة.
يدير المهاجمون هذه العمليات عبر بنية تحتية تعتمد على تطبيق تليجرام، مما يمنحهم سيطرة مركزية وقدرة على إرسال تحديثات بسرعة. وتسمح هذه الآلية للمجرمين بإدارة المئات من الأجهزة المصابة في وقت واحد، مع تخصيص معرف فريد لكل جهاز لتتبع الأوامر.
تعمل البرمجية من خلال نظامين منفصلين للتواصل. يستقبل نظام Firebase الأوامر من المهاجمين، بينما يتلقى خادم قيادة وتحكم منفصل البيانات المسروقة. يوفر هذا الهيكل المزدوج مرونة ويساهم في الحفاظ على أمن العمليات للمهاجمين.
وأشار محللو شركة Cyble إلى أن البرمجية تظهر بوضوح تطوراً مستمراً، حيث تقدم كل نسخة جديدة قدرات محسنة وتقنيات تهرب أكثر دقة. وهذا يعكس الجهود المتواصلة للمطورين خلف هذه البرمجية لزيادة فعاليتها.
سرقة بيانات الاعتماد المصرفي عبر اعتراض الرسائل النصية
يتركز الهدف الأساسي لبرمجية deVixor على سرقة المعلومات المالية من خلال تحليل الرسائل النصية القصيرة. تقوم البرمجية بفحص آلاف الرسائل على الأجهزة المصابة، بحثاً عن أي محتوى متعلق بالبنوك. تستخدم البرمجية تعابير نمطية لاستخلاص أرصدة الحسابات، وكلمات المرور لمرة واحدة، وأرقام البطاقات من الرسائل الواردة من بنوك إيرانية ومنصات للعملات المشفرة.
تستهدف البرمجية بشكل خاص أكثر من 20 مؤسسة مالية رئيسية، بما في ذلك بنك ملي إيران، وبنك ملت، والعديد من منصات العملات المشفرة مثل Binance و Ramzinex. وتعمل آلية سرقة بيانات الاعتماد من خلال حقن JavaScript في واجهات WebView، حيث تفتح صفحة خبيثة تحاكي واجهات البنوك الشرعية عند نقر الضحية على إشعار وهمي.
تقوم JavaScript المحقونة بالتقاط كل ما يكتبه المستخدم، بما في ذلك بيانات تسجيل الدخول ومعلومات الحساب، ثم ترسل هذه البيانات مباشرة إلى المهاجمين. وهذا يمثل خطورة بالغة على أمن الحسابات المصرفية للمستخدمين.
وتتضمن ميزة مقلقة بشكل خاص وحدة برمجية فدية مدمجة. عند تلقي أمر الابتزاز، تقوم البرمجية بقفل شاشة الجهاز وتطالب بدفع فدية بعملة TRON المشفرة (50 TRX). تعرض رسالة الفدية عنوان محفظة المهاجم، ويبقى الجهاز مقفلاً حتى يتم استلام المبلغ.
توضح لقطات الشاشة من قناة المهاجمين على تليجرام نجاح عمليات قفل الأجهزة، مما يشير إلى أن هذا الأسلوب الابتزازي يتم تفعيله بنشاط ضد الضحايا. تؤكد القدرات التقنية العالية لبرمجية deVixor على كيفية تطور برمجيات التجسس المصرفي الحديثة على أندرويد، لتتحول من مجرد أدوات سرقة بيانات إلى منصات إجرامية شاملة تدعم مسارات هجوم متعددة، ومراقبة مستمرة، وقدرات ابتزاز مالي تستهدف المستخدمين حول العالم.