كشفت تقارير أمنية حديثة عن ظهور تهديد سيبراني جديد يستهدف مستخدمي تطبيقات الخدمات المصرفية عبر الهاتف المحمول في بولندا، حيث يتخذ هذا التحميل الجديد للهواتف الذكية شكل تطبيق أمني خبيث تم اكتشافه في 25 نوفمبر 2025. يعتمد هذا البرنامج الضار على استغلال خدمات إمكانية الوصول في الهواتف الذكية لشن هجمات متطورة.
يقوم التطبيق الجديد، الذي أطلق عليه اسم FvncBot، بانتحال شخصية تطبيق أمني موثوق به من بنك mBank البولندي الشهير، بهدف خداع المستخدمين وتثبيت البرمجيات الخبيثة على أجهزتهم. وبعد ذلك، يبدأ البرنامج الضار في العمل بصمت لتحديد أهدافهم المالية.
FvncBot: تهديد سيبراني جديد يستغل خدمات إمكانية الوصول
بدأت عملية الإصابة عندما طلب التطبيق المزيف من المستخدم تثبيت مكون إضافي يسمى “Play”، مدعياً أنه ضروري لاستقرار النظام. ووفقاً لباحثين في مجال الأمن السيبراني، فإن هذه الخطوة تمثل حيلة رئيسية لتجاوز القيود الأمنية المفروضة على أجهزة أندرويد الحديثة. يستغل هذا التحميل الخبيث هذا الإذن لتثبيت الحمولة الأساسية، مما يضمن استمراره في العمل على هاتف الضحية.
وقد تم التعرف على هذه السلالة الجديدة من البرمجيات الخبيثة من قبل باحثين في Intel 471، وتم تسميتها “FvncBot” نظراً لطابعها الفريد، حيث أن شيفرة برمجتها أصلية تماماً وغير مستمدة من أي برمجيات حصان طروادة مصرفية أخرى معروفة. ويشير هذا التميز إلى أن مجموعة جديدة من المطورين تقف وراء هذه التهديدات.
كيف يعمل FvncBot
يطلق FvncBot ميزات تدخلية لسرقة الأموال، وذلك بشكل أساسي عن طريق تسجيل ضغطات المفاتيح والتقاط محتوى الشاشة. كما أنه يستفيد من تقنية شبكة الحوسبة الافتراضية المخفية (Virtual Network Computing)، مما يسمح للمجرمين السيبرانيين بتنفيذ إجراءات على الجهاز المصاب عن بُعد، وتسهيل عمليات الاحتيال بينما يظل الضحية غير مدرك.
أكثر ما يثير القلق بشأن FvncBot هو استغلاله لخدمات إمكانية الوصول في نظام أندرويد للحفاظ على سيطرته. بعد التثبيت، يطلب البرنامج الضار بقوة هذه الامتيازات عالية المستوى، ويوجه الضحية إلى إعدادات النظام للموافقة عليها. إذا وافق المستخدم، يكتسب البرنامج الضار القدرة على قراءة النص على الشاشة وتتبع كل نقرة.
مع تفعيل خدمات إمكانية الوصول، يمكن لـ FvncBot جمع البيانات من أي تطبيق مفتوح، بما في ذلك بوابات الخدمات المصرفية الآمنة. يقوم بتسجيل هذه التفاصيل في مخزن مؤقت وإرسالها إلى خادم بعيد. علاوة على ذلك، ينشئ البرنامج الضار اتصالاً عالي السرعة باستخدام WebSockets، مما يسمح للمشغلين بإصدار الأوامر فوراً.
هذا الإعداد يمكّنهم من بث شاشة الضحية والتحكم في الجهاز عن بُعد لارتكاب جرائم مالية. ولمنع مثل هذه الإصابات الخطيرة، يُنصح المستخدمون بشدة بتجنب تثبيت التطبيقات المصرفية من مواقع الويب غير الرسمية ونتائج البحث العامة.