كشفت تقارير أمنية حديثة عن حملة تجسس سيبراني متطورة تستهدف سرقة بيانات الدفع، حيث يسعى قراصنة صينيون، باستخدام برمجيات خبيثة تعمل بتقنية NFC على أجهزة أندرويد، لاعتراض وسرقة المعلومات المالية من ضحايا حول العالم.
تعتمد هذه البرمجيات، المسماة “Ghost Tap”، على طرق توزيع احتيالية، حيث يتم خداع المستخدمين لتنزيل تطبيقات تبدو شرعية عبر منصات المراسلة الفورية مثل تليجرام. فيما بعد، تستغل البرمجية تقنية الاتصال قريب المدى (NFC) لقراءة بيانات بطاقات الدفع لدى الضحايا الذين يقومون بتقريب بطاقاتهم عن غير قصد من الأجهزة المصابة.
حملة Ghost Tap: قراصنة صينيون يستغلون NFC لسرقة بيانات الدفع
تعتمد هذه الهجمات بشكل كبير على أساليب الهندسة الاجتماعية لزيادة معدلات الإصابة. يقوم المهاجمون بصياغة طُعوم مقنعة على هيئة تطبيقات شائعة، أو برامج ألعاب، أو أدوات مساعدة، لتقليل حذر المستخدمين وتشجيعهم على التنزيل.
تطلب البرمجية الخبيثة بعد ذلك الإذن بالوصول إلى وظيفة NFC، وهو ما يمنحه معظم المستخدمين دون فهم كامل للآثار الأمنية المترتبة على ذلك. فور تفعيلها، تعمل Ghost Tap في الخلفية، وتراقب باستمرار تفاعلات بطاقات NFC وترسل البيانات المسروقة عبر خوادم بعيدة يتحكم بها القراصنة.
تحليل التهديد من قبل Group-IB
قام باحثو Group-IB، وهي شركة متخصصة في استخبارات التهديدات، بتحديد هذه الحملة بعد تتبع أكثر من 54 عينة فريدة من Ghost Tap منتشرة عبر قنوات توزيع متعددة.
لاحظ الباحثون أن العديد من هذه العينات تنتحل شخصية تطبيقات رسمية لشركات معروفة، مما يجعل اكتشافها أكثر صعوبة على المستخدمين العاديين. كشفت تحليلاتهم أن المحتالين يستخدمون بيانات الدفع المعترضة لإجراء معاملات غير مصرح بها عبر أجهزة نقاط البيع غير المشروعة، حيث أبلغ الضحايا عن خسائر مالية في بلدان متعددة.
آلية الثبات في البرمجية الخبيثة
تمثل آلية ثبات البرمجية الخبيثة جانبًا تقنيًا مقلقًا بشكل خاص لهذا التهديد. تستخدم Ghost Tap تقنيات تهرب متقدمة للحفاظ على وجودها على الأجهزة المصابة حتى بعد محاولة المستخدمين إلغاء تثبيت التطبيقات.
تسجل البرمجية نفسها كخدمة نظام وتتصل بإطار NFC الخاص بنظام أندرويد على مستوى عميق، مما يسمح لها بالعمل بشكل مستقل عن التطبيق الأصلي.
عندما يحاول المستخدم حذفها، تقوم Ghost Tap تلقائيًا بإعادة تثبيت نفسها عن طريق استغلال عمليات النظام المخترقة، مما يجعل إزالتها صعبة للغاية بدون خبرة تقنية أو أدوات أمنية متخصصة.
نصائح للحماية
ينصح الباحثون الأمنيون المستخدمين بتوخي الحذر الشديد عند تثبيت التطبيقات من مصادر غير موثوقة، والتحقق من أصالة التطبيقات عبر متاجر التطبيقات الرسمية فقط.
يُعد تعطيل وظيفة NFC عند عدم استخدامها وسيلة حماية إضافية ضد هذه الهجمات. يجب على المؤسسات تنفيذ حلول إدارة الأجهزة المحمولة لمراقبة وحظر التطبيقات المشبوهة، وفي الوقت نفسه، يجب على المستخدمين البقاء يقظين بشأن منح الأذونات للبرامج المثبتة.