تم اكتشاف برمجية خبيثة مصرفية خطيرة تُعرف باسم “Anatsa” تنتشر عبر متجر Google Play، حيث وصلت إلى أكثر من خمسين ألف عملية تنزيل قبل الكشف عنها. تم إخفاء التطبيق الخبيث بذكاء تحت ستار قارئ مستندات، مما جعله يبدو غير ضار للمستخدمين الذين يبحثون عن أدوات شرعية لإدارة الملفات.
يسلط هذا الاكتشاف الضوء على استمرار المجرمين السيبرانيين في استغلال متاجر التطبيقات الرسمية كقنوات توزيع للتهديدات المالية المتطورة التي تستهدف مستخدمي أندرويد حول العالم. تعد هذه البرمجية الخبيثة المصرفية مصدر قلق خاص لأنها تستهدف تحديدًا بيانات اعتماد البنوك والمعلومات المالية الحساسة من الأجهزة المصابة.
تطبيق خبيث ينشر برمجية Anatsa المصرفية عبر Google Play
تعمل البرمجية الخبيثة كـ “مثبت” يقوم بتنزيل ونشر حمولة برمجية Anatsa المصرفية الكاملة بمجرد وصول التطبيق الأولي إلى الجهاز. المستخدمون الذين قاموا بتنزيل وتثبيت قارئ المستندات المزيف هذا، منحوا عن غير قصد البرمجية الخبيثة إذنًا للعمل بصلاحيات مرتفعة، مما يفتح الباب لسرقة الأموال واستخراج البيانات الشخصية.
كانت طريقة التوزيع عبر سوق Google الرسمي فعالة بشكل خاص، حيث يثق المستخدمون عادةً في التطبيقات الموجودة على المنصات المعتمدة. يمثل هذا خرقًا كبيرًا في عمليات الفحص الأمني لمتجر التطبيقات، مما يوضح كيف يستمر المطورون الخبيثون في التهرب من أنظمة الكشف.
حدد محللو Zscaler ThreatLabz هذا التطبيق الخبيث وبدأوا فورًا في تتبع شبكة توزيعه والبنية التحتية القيادية والتحكم المرتبطة به. أكد باحثو الأمن السيبراني ارتباط البرمجية الخبيثة بعمليات سرقة مصرفية وقدموا مؤشرات تقنية مفصلة لمساعدة فرق الأمن الأخرى على اكتشاف الأجهزة المصابة.
آلية الإصابة والتواصل الخاصة بالبرمجية الخبيثة
كشف تحقيقهم عن سلسلة الهجمات ووصفوا كيفية تواصل البرمجية الخبيثة مع الخوادم الخارجية لاستقبال الأوامر واستنزاف معلومات البنوك المسروقة. يعد فهم كيفية ترسيخ Anatsa نفسها على أجهزة أندرويد المصابة أمرًا بالغ الأهمية للمستخدمين والمتخصصين في الأمن السيبراني الذين يسعون لمنع الاختراق.
بمجرد التثبيت، تندمج البرمجية الخبيثة المصرفية في نظام التشغيل وتراقب بنشاط نشاط المستخدم، مع التركيز بشكل خاص على تفاعلات تطبيقات البنوك. عندما يقوم المستخدمون بفتح تطبيقات البنوك الخاصة بهم أو إدخال بيانات الاعتماد المالية، تلتقط البرمجية الخبيثة هذه المعلومات الحساسة من خلال هجمات التراكب وتقنيات تسجيل بيانات الاعتماد.
تتواصل البرمجية الخبيثة بعد ذلك مع خوادم القيادة والتحكم الموجودة في عناوين IP محددة، وتقوم بإرسال تفاصيل البنوك المسروقة مباشرة إلى الجهات الفاعلة السيئة. هذا الاتصال المباشر بالبنية التحتية التي يسيطر عليها المهاجمون يعني أن الأجهزة المخترقة تظل تحت السيطرة النشطة للجهات الفاعلة السيئة، وتغذية معلومات البنوك ورموز الجلسة باستمرار للعمليات الإجرامية.
يوصي باحثو الأمن السيبراني المستخدمين بإزالة أي تطبيقات قارئ مستندات مشبوهة على الفور، والتحقق من أصالة التطبيقات من خلال القنوات الرسمية، وتمكين المصادقة متعددة العوامل على جميع الحسابات المصرفية للتخفيف من مخاطر الإصابة المحتملة. يعتبر اكتشافمثل هذه التهديدات جزءًا من الجهود المستمرة لتعزيز الأمن الرقمي وحماية بيانات المستخدمين.