كاسبرسكي تكشف عن حصان طروادة جديد يستهدف سرقة العملات المشفرة في الإمارات
تاريخ النشر: 5th, February 2025 GMT
اكتشف مركز أبحاث التهديدات التابع لكاسبرسكي "حصان طروادة" جديد يستهدف سرقة البيانات يُعرف باسم SparkCat، والذي كان نشطاً على متجري App Store وGoogle Play منذ مارس 2024 على الأقل.
تُعتبر هذه أول حالة مسجلة لظهور برمجيات خبيثة مبنية على تقنيات التعرّف البصري داخل متجر App Store، يستعين SparkCat بتقنيات تعلم الآلة لفحص معارض الصور بهدف سرقة لقطات الشاشة التي تعرض عبارات استرداد محافظ العملات المشفرة، كما يستطيع تحديد واستخلاص بيانات حساسة أخرى من الصور، مثل كلمات المرور.
وقد أبلغت كاسبرسكي عن التطبيقات الخبيثة المعروفة كلّا من Google وApple.
كيف ينتشر البرنامج الخبيث الجديد؟ينتشر SparkCat عبر التطبيقات المشروعة المصابة والمفخخة - مثل تطبيقات التراسل، ومساعدي الذكاء الاصطناعي، وخدمات توصيل الطعام، وتطبيقات العملات المشفرة، والمزيد.
يتوفر بعضاً من هذه التطبيقات عبر المنصات الرسمية، بما في ذلك Google Play وApp Store. كما توضّح بيانات القراءة عن بُعد من كاسبرسكي أن الإصدارات المصابة تُنشر أيضاً عبر مصادر أخرى غير رسمية، على متجر Google Play، تجاوز عدد مرات تنزيل هذه التطبيقات 242,000 مرة.
من المستهدف؟
يستهدف البرنامج الخبيث المستخدمين في الإمارات العربية المتحدة ودول من أوروبا وآسيا بشكل رئيسي. هذا ما توصل إليه الخبراء استناداً إلى المعلومات عن المناطق التشغيلية للتطبيقات المصابة والتحليل الفني للبرمجيات الخبيثة. حيث يفحص SparkCat معارض الصور بحثاً عن الكلمات المفتاحية بعدة لغات تشمل: الصينية، واليابانية، والكورية، والإنجليزية، والتشيكية، والفرنسية، والإيطالية، والبولندية، والبرتغالية. ويرى الخبراء أن الضحايا قد يكونون من دول أخرى أيضاً.
كيف يعمل SparkCatبمجرد تثبيته، في بعض السيناريوهات، يطلب SparkCat إذناً للوصول إلى الصور في معرض هاتف المستخدم. ثم يُحلل النص الموجود في الصور المخزنة باستخدام وحدة التعرف البصري على الحروف (OCR). وإذا اكتشف البرنامج الخبيث كلمات مفتاحية ذات صلة، يُرسل الصورة إلى المهاجمين. الهدف الأساسي للقراصنة هو العثور على عبارات الاسترداد لمحافظ العملات المشفرة. وباستخدام هذه المعلومات، يمكنهم السيطرة الكاملة على محفظة الضحية وسرقة الأموال. بالإضافة إلى سرقة عبارات الاسترداد، يستطيع SparkCat استخراج معلومات شخصية أخرى من لقطات الشاشة، مثل الرسائل وكلمات المرور.
قال سيرجي بوزان، محلل البرمجيات الخبيثة لدى كاسبرسكي: «هذه أول حالة معروفة لحصان طروادة قائم على تقنية التعرف البصري على الحروف (OCR) يتسلل إلى متجر App Store. بالنسبة لكل من App Store وGoogle Play، في الوقت الراهن، ليس واضحاً ما إذا كانت التطبيقات في هذه المتاجر قد اختُرقت من خلال هجوم على سلسلة التوريد أو بطرق مختلفة. بعض التطبيقات، مثل خدمات توصيل الطعام، تبدو مشروعة، بينما البعض الآخر مصمم بوضوح ليكون فخاً.»
ويضيف ديمتري كالينين، محلل البرمجيات الخبيثة لدى كاسبرسكي: «تتمتع حملة SparkCat ببعض الميزات الفريدة التي تجعلها خطيرة. أولاً، تنتشر عبر متاجر التطبيقات الرسمية وتعمل دون ظهور علامات واضحة على الإصابة. إن خاصية التخفي لحصان طروادة هذا تُصعّب اكتشافه، سواءً بالنسبة لمشرفي المتاجر أو لمستخدمي الهواتف المحمولة. كما أن الأذونات التي يطلبها التطبيق تبدو معقولة، مما يسهّل إغفالها. وقد يبدو الوصول إلى المعرض الذي تحاول البرمجيات الخبيثة الوصول إليه ضرورياً لضمان تشغيل التطبيق بكفاءة، وفقاً لتصوّر المستخدم. فعادةً ما يُطلب هذا الإذن في سياقات ذات صلة، على سبيل المثال عندما يتواصل المستخدمون مع فريق دعم العملاء».
أثناء تحليل نسخ Android من SparkCat، عثر خبراء كاسبرسكي على تعليقات في الكود مكتوبة باللغة الصينية. علاوة على ذلك، تضمن إصدار iOS أسماء المجلدات الرئيسية للمطورين مثل «qiongwu» و«quiwengjing»، ما يوحي بإتقان مصادر التهديد المشاركة في الحملة للغة الصينية. ومع ذلك، لا تتوفر أدلة كافية لربط الحملة بأي مجموعة جرائم سيبرانية معروفة.
هجمات تعتمد على تقنيات تعلم الآلة
يتزايد اعتماد المجرمون السيبرانيون على الشبكات العصبونية في أدواتهم الخبيثة. في حالة SparkCat، تقوم الوحدة التي تستهدف نظام Android بفك تشفير وتنفيذ إضافة OCR باستخدام مكتبة Google ML Kit للتعرف على النص في الصور المخزنة. واستُخدمت آلية مشابهة في الوحدة الخبيثة الخاصة بنظام iOS.
لتجنب الوقوع ضحية لحملة SparkCat الخبيثة، توصي كاسبرسكي باتباع الإجراءات الأمنية التالية:
في حال قيامك بتثبيت أحد التطبيقات المصابة، قم بإزالته من جهازك وتجنب استخدامه حتى صدور تحديث يُزيل الوظيفة الخبيثة.تجنب تخزين لقطات الشاشة التي تحتوي على معلومات حساسة في معرض الصور، بما في ذلك عبارات استعادة محفظة العملات المشفرة. ويمكنك مثلاً، حفظ كلمات المرور في تطبيقات متخصصة.يمكن لبرمجيات الأمن السيبراني الموثوقة أن تمنع الإصابة بالبرمجيات الخبيثة.المصدر: بوابة الوفد
كلمات دلالية: حصان طروادة كاسبرسكي العملات المشفرة العملات المشفرة Google Play
إقرأ أيضاً:
صحيفة بريطانية تكشف عن أرباح هائلة يجنيها محمد صلاح
بغداد اليوم - متابعة
يجني المصري محمد صلاح نجم ليفربول أرباحا هائلة خارج حدود الملعب بعيدا عن راتبه الذي يتقاضاه مع متصدر الدوري الإنجليزي.
وأكدت صحيفة "ذا صن" البريطانية أن صلاح كسب خلال العام الحالي ما يقرب من 37 مليون جنيه إسترليني (54.5 مليون يورو) من صفقات الرعاية وحقوق الصورة.
وذكرت أن شركة حقوق الصور الخاصة بالنجم المصري سجّلت أصولا بقيمة 36.7 مليون جنيه إسترليني، بزيادة قدرها 3.3 ملايين عن العام السابق.
وأوضحت أن صلاح يربح 275 ألف جنيه إسترليني شهريا إضافية على الراتب الذي يتقاضاه من ليفربول.
وأسّس صلاح البالغ من العمر 32 عاما شركته الخاصة "Salah UK Commercial Ltd" عام 2014 أثناء وجوده في نادي تشلسي.
ويرتبط صلاح بعقود إعلانية وتجارية "مربحة" مع علامات تجارية كبرى أبرزها شركة أديداس المتخصصة في المستلزمات الرياضية، وبيبسي للمشروبات الغازية، وفودافون وأوبو للهواتف المحمولة.
وترى الصحيفة أن أرباح صلاح ستزيد في الفترة المقبلة إذا وقّع عقدا جديدا مع ليفربول، إذ من المنتظر أن يتضمن بنودا تزيد من نسبته في حقوق الصور.
وكان صلاح قد كسب نزاعا قضائيا مع الاتحاد المصري لكرة القدم نشأ قبل مدة قصيرة من انطلاق منافسات كأس العالم روسيا 2018، بخصوص حقوق الصور.
وغضب صلاح من مسؤولي الاتحاد المصري بعدما اكتشف أن الطائرة المصرية التي ستقلّ منتخب "الفراعنة" إلى روسيا وُضع عليها صورة ضخمة له من دون موافقته.
وشعر صلاح حينها بالإهانة لأن أحدا لم يستشره إذا كانت هذه الخطوة قد تتعارض مع عقوده التجارية الشخصية.
وكانت تلك الطائرة مموّلة من شركة الاتصالات "وي" (We) الراعي الرسمي لمنتخب مصر، مما أثار قلق صلاح من احتمال أن يُعد ذلك خرقا لعقده مع فودافون.
وينتهي عقد صلاح مع ليفربول في يونيو/حزيران من العام الحالي، في وقت تشير فيه تقارير عديدة إلى اقتراب النجم المصري من التوقيع على عقد جديد يمدّد بقاءه في ملعب أنفيلد لفترة جديدة.
المصدر: وكالات