كشفت شبكات قرصنة معقدة عن حملة برمجيات خبيثة جديدة تستهدف مستخدمي نظام أندرويد، حيث تنتحل هذه البرامج صفة إشعارات رسمية لمخالفات المرور لتوزيع برمجيات خبيثة قادرة على سرقة المعلومات المالية والشخصية. تتلقى أجهزة المستخدمين رسائل نصية وهمية تدعي وجود مخالفات مرورية، وتحث على تحميل تطبيق مزيف يحمل اسم “E-Challan” أو “RTO Challan”.
تنتشر هذه التطبيقات الضارة خارج متجر جوجل بلاي الرسمي، وغالباً ما يتم توزيعها عبر منصات المراسلة مثل واتساب. تستغل هذه الحملة ثقة المستخدمين في الخدمات الحكومية للاحتيال عليهم. وتعد هذه الطريقة تطوراً خطيراً في تهديدات البرمجيات الخبيثة، مع استخدام بنية معيارية متعددة المراحل لتعزيز قدرتها على التخفي والحفاظ على وجودها على الأجهزة المصابة.
تطور تقنيات الاحتيال الإلكتروني في الهند
تتشابه التطبيقات الضارة المستخدمة في هذه الحملة مع محاولات سابقة، لكنها تتميز باستخدام تقنيات متقدمة لتجنب الكشف، مثل التكوين الديناميكي عن بعد وتقنيات مكافحة التحليل. وفقاً لباحثي الأمن، فإن هذه البرمجيات الخبيثة تمنع أدوات الأمان من اكتشاف الاتصال بخوادم القيادة والتحكم، وذلك من خلال إنشاء نفق VPN مخصص لإخفاء نشاطها الشبكي.
تميزت الحملة باستخدام تكتيكات هندسة اجتماعية متقنة. تقدم التطبيقات الخبيثة واجهات مستخدم احتيالية تحاكي البوابات الحكومية الرسمية، بما في ذلك شعارات وعلامات مكتب النقل الإقليمي (RTO) لإقناع المستخدمين بشرعية التطبيق. هذه الطريقة تزيد من احتمالية نجاح الهجوم، حيث أن المستخدمين يثقون تلقائياً بما يبدو رسمياً.
آلية الإصابة وعمليات إساءة استخدام الأذونات
تبدأ عملية الإصابة عندما يتلقى الضحايا رسائل نصية قصيرة أو رسائل واتساب تحتوي على روابط مختصرة تبدو كملفات رسمية لمخالفات المرور. تخلق هذه الرسائل شعوراً بالإلحاح، مهددة بتعليق رخصة القيادة أو سحبها، أو حتى استدعاءات قضائية في حال عدم دفع الغرامات المرورية المستحقة.
فور قيام المستخدمين بالنقر على الرابط وتنزيل ملف APK، تبدأ البرمجية الخبيثة بتنفيذ سلسلة من المراحل المتعددة. بعد التثبيت، يعرض التطبيق في مرحلته الثالثة واجهة حكومية زائفة تطلب من المستخدمين التحقق من هويتهم أو تسوية مخالفة معلقة. للمتابعة، يجب على المستخدمين منح التطبيق أذونات خطيرة ومتعددة، مما يتيح له الوصول إلى وظائف حساسة في الجهاز.
بمجرد الموافقة على هذه الأذونات، تبدأ البرمجية الخبيثة في جمع معلومات الهوية الشخصية، وإشعارات المعاملات المصرفية، ورسائل رموز التحقق لمرة واحدة (OTP)، وبيانات تعريف الجهاز. تستخدم البرمجية الخبيثة تقنية لخداع الخدمة الأمامية، حيث تنشئ إشعاراً وهمياً يعمل باستمرار أثناء قيامها بالأنشطة الضارة في الخلفية.
التوصيات الأمنية والوقاية
يجب على المستخدمين التحقق من مخالفات المرور حصرياً عبر مواقع الويب الرسمية للحكومة، بدلاً من النقر على الروابط الموجودة في الرسائل غير المرغوب فيها. ينبغي تجنب تنزيل التطبيقات من مصادر خارج متجر جوجل بلاي، وعدم منح الأذونات غير الضرورية للتطبيقات التي تطلب الوصول إلى الرسائل القصيرة أو الإشعارات.
من ناحية أخرى، يُنصح المنظمات بتطبيق حلول دفاع للتهديدات عبر الأجهزة المحمولة وإجراء تدريبات توعية أمنية لمساعدة الموظفين على التعرف على تكتيكات الهندسة الاجتماعية. تعتبر هذه الإجراءات الوقائية ضرورية للحد من انتشار هذه البرمجيات الخبيثة وحماية البيانات الحساسة.