ظهرت أداة برمجية خبيثة جديدة تستهدف نظام أندرويد تُعرف باسم “Mirax Bot” على منتديات مجرمي الإنترنت، حيث يتم الترويج لها بنشاط كأداة قوية مصممة خصيصًا للاحتيال المالي. يُباع هذا البوت بنموذج “البرمجيات الخبيثة كخدمة” (MaaS)، ويُعرض في باقات تأجير منظمة، مما يجعله متاحًا لمجموعة واسعة من المجرمين بغض النظر عن خلفيتهم التقنية.
يأتي ظهور Mirax Bot ليعكس تحولًا واسعًا ومثيرًا للقلق في الجريمة الإلكترونية عبر الهاتف المحمول، حيث يتم الآن تجميع وبيع أدوات الهجوم المتطورة مثل برامج تجارية، مما يقلل بشكل كبير من حاجز الدخول لأي شخص يسعى لارتكاب عمليات احتيال مصرفي واسعة النطاق ضد مستخدمي أجهزة الأندرويد العاديين حول العالم.
تُعرض الأداة حاليًا على ExploitForum، وهو سوق راسخ تحت الأرض حيث يتبادل مجرمو الإنترنت بانتظام الأدوات والخدمات والبيانات المسروقة. وفقًا للإعلان، يدعم Mirax Bot أكثر من 700 حقن لتطبيقات مختلفة بالإضافة إلى شبكة الحوسبة الافتراضية المخفية (HVNC)، مما يتيح للمهاجمين سرقة بيانات الاعتماد والتحكم عن بعد في الأجهزة المصابة دون إثارة أي علامات مرئية للاختراق.
تم التعرف على Mirax Bot وتحديد هويته بواسطة باحثي KrakenLabs في 5 مارس 2026، بعد تتبع إعلاناته بنشاط عبر المنصات السفلية. وأشاروا إلى أن مجموعة ميزات البرمجية الخبيثة مصممة لدعم عمليات الاستيلاء على الحسابات (ATO) والاحتيال المالي على نطاق واسع، من خلال الجمع بين التقاط بيانات الاعتماد والتفاعل في الوقت الفعلي مع الجهاز عن بعد، وتوجيه حركة المرور عبر الهواتف المحمولة المخترقة.
بالإضافة إلى الإعلان نفسه، يثير الملف الشخصي التقني لـ Mirax Bot مخاوف جدية لكل من المستخدمين الأفراد والمؤسسات المالية على مستوى العالم. تشير التقارير إلى أن البوت يقوم بتوجيه حركة مرور المهاجم عبر اتصال الشبكة الخاص بالجهاز المصاب، مما يحوله فعليًا إلى وكيل افتراضي (residential proxy) لتجاوز آليات الكشف عن الاحتيال التي تعتمد عليها البنوك ومقدمو خدمات الدفع.
الخطر المزدوج لـ HVNC وحقن بيانات الاعتماد في Mirax Bot
تُعد القدرات الأكثر خطورة تقنيًا لـ Mirax Bot هي قدرة HVNC (الشبكة الافتراضية المخفية) ومكتبتها الواسعة التي تحتوي على أكثر من 700 حقن تستهدف تطبيقات محددة. تتيح HVNC للمهاجم إمكانية التحكم عن بعد وبصمت في جهاز أندرويد المصاب دون إزعاج ما يراه المستخدم على شاشته.
يمكن للمهاجم فتح التطبيقات، وبدء عمليات تحويل الأموال، والموافقة على المعاملات، واستخراج البيانات الحساسة بالكامل عبر جلسة موازية مخفية، مما يجعل من المستحيل تقريبًا على مالك الجهاز اكتشاف حدوث أي شيء غير مصرح به. تعمل مكتبة الحقن جنبًا إلى جنب مع HVNC عن طريق وضع شاشات وهمية ولكن مقنعة فوق تطبيقات مصرفية ومدفوعات شرعية بمجرد أن يفتحها الضحية.
تم تصميم هذه الشاشات المزيفة لتبدو مطابقة لواجهة التطبيق الحقيقي، مما يخدع المستخدمين لإدخال بيانات اعتماد تسجيل الدخول الخاصة بهم، أو كلمات المرور لمرة واحدة، أو تفاصيل بطاقاتهم، وكلها يتم التقاطها بصمت وإعادة توجيهها إلى المهاجم. مع الدعم المعلن للحقن الذي يشمل أكثر من 700 تطبيق عبر البنوك ومحافظ العملات المشفرة وخدمات الدفع، فإن Mirax Bot مهيأ للتأثير على المستخدمين في العديد من البلدان والمنصات المالية في وقت واحد.
لحماية المستخدمين من التهديدات مثل Mirax Bot، يجب على مستخدمي أندرويد تثبيت التطبيقات فقط من متجر Google Play الرسمي وتجنب تحميل ملفات APK من مصادر خارجية غير معروفة أو غير موثوقة. إن إبقاء Google Play Protect نشطًا، ومراجعة طلبات أذونات التطبيق بعناية قبل منح الوصول، واستخدام أداة أمان للجوال مزودة باكتشاف سلوكي، كلها تدابير وقائية ذات مغزى تستحق التبني.
يجب على المؤسسات المالية إعطاء الأولوية للمصادقة المرتبطة بالجهاز والاستثمار في أنظمة الكشف عن الاحتيال التي تحلل الأنماط السلوكية بدلاً من الاعتماد فقط على التحقق المستند إلى عنوان IP. يعد هذا التهديد الجديد بمثابة تذكير مستمر بالحاجة إلى اليقظة المستمرة وتبني استراتيجيات أمنية شاملة في مواجهة التهديدات المتطورة باستمرار.