كشف خبراء الأمن السيبراني عن تطوير جهات فاعلة تهديدية صينية لطريقة جديدة ومقلقة لسرقة الأموال مباشرة من الحسابات المصرفية عبر تطبيقات أندرويد خبيثة. تعتمد هذه الهجمة، المسماة “Ghost Tapped”، على استغلال تقنية الاتصال قريب المدى (NFC) لتحويل الأموال بطرق احتيالية.
تستهدف هذه الهجمة ضحاياها من خلال رسائل وروابط احتيالية، تدفعهم إلى تنزيل ملفات APK لتطبيقات تبدو شرعية، سواء كانت بنكية أو خاصة بالدفع. بمجرد تثبيت التطبيق، يطلب من المستخدمين وضع بطاقاتهم المصرفية بالقرب من هواتفهم، بحجة أنها لغرض التحقق الأمني أو التسجيل.
هجمة Ghost Tapped تستغل تقنية NFC لسرقة الأرصدة
تُعد تقنية الاتصال قريب المدى (NFC) هي نفسها المستخدمة في عمليات الدفع غير التلامسية، لكن في سياق هجمة Ghost Tapped، يتم استغلالها لسرقة بيانات البطاقات المصرفية. بدلاً من الحاجة إلى البطاقة الفعلية، يمكن للمجرمين إكمال المعاملات من أي مكان في العالم.
تتكون آلية الهجوم من نظام من جزأين. الجزء الأول هو تطبيق “قارئ” يتم تثبيته على جهاز الضحية، والذي يقوم بالتقاط معلومات البطاقة عند لمسها بالهاتف. يقوم هذا التطبيق بتشفير البيانات وإرسالها إلى خادم القيادة والتحكم (C2) الخاص بالمجرمين.
من جهة أخرى، يستخدم المجرمون تطبيق “طابع” لإتمام المعاملات غير المصرح بها. يقوم هذا التطبيق بإعادة توجيه بيانات البطاقة الملتقطة إلى نقاط بيع (POS) مزيفة أو مسروقة، مما يجعل المعاملة تبدو كأنها طبيعية تمامًا في نظر النظام المصرفي.
آلية الإصابة والهجوم التبادلي (Relay Attack)
وفقًا لتحليلات خبراء Group-IB، فإن البرمجيات الخبيثة تعمل عن طريق إنشاء اتصال مباشر بين بطاقة الدفع الخاصة بالضحية وجهاز المجرم عبر خوادم متصلة بالإنترنت. عندما يتم تمرير البطاقة بالقرب من هاتف أندرويد مصاب بتطبيق “القارئ”، يتم التقاط بيانات الدفع.
تنتقل هذه البيانات عبر خادم القيادة والتحكم لتصل إلى تطبيق “الطابع” الخاص بالمجرم، والذي يقوم بدوره بتوجيهها إلى أجهزة نقاط البيع. بالنسبة لنظام نقطة البيع، تبدو المعاملة كأنها طبيعية، كما لو أن جهاز المجرم هو بطاقة مصرفية فعلية.
تتطلب التطبيقات الخبيثة أذونات محددة لاستخدام تقنية NFC والإنترنت. بعد التثبيت، تجمع هذه التطبيقات معرفات الجهاز وبيانات الاعتماد، وترسلها إلى خوادم بعيدة باستخدام بروتوكولات مثل WebSocket أو MQTT. وقد تم تحديد ما يزيد عن 54 نسخة من هذه التطبيقات الخبيثة بين أغسطس 2024 وأغسطس 2025.
بين نوفمبر 2024 وأغسطس 2025، تمكنت إحدى المجموعات المرتبطة بهذه الهجمات من معالجة ما لا يقل عن 355,000 دولار أمريكي في صورة معاملات احتيالية. وقد وقع آلاف الضحايا عالميًا ضحية لهذه المخططات، مع تسجيل اعتقالات في دول متعددة تشمل الولايات المتحدة وسنغافورة وجمهورية التشيك وماليزيا، مما يؤكد التأثير المتزايد لهذه الهجمات على أرض الواقع.