حصان طروادة المصرفي من بيت بانكر

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة, حصان طروادة المصرفي

ترجمة الى:

BeatBanker هو برنامج خبيث متطور لنظام أندرويد، يُوزّع عبر مواقع إلكترونية احتيالية مصممة لتقليد متجر جوجل بلاي. تخدع هذه الحملة الخبيثة المستخدمين لتحميل تطبيقات تبدو شرعية، لكنها في الواقع تُحمّل برنامج حصان طروادة مصرفيًا قويًا مزودًا بإمكانيات تعدين العملات الرقمية. بمجرد تثبيته، يستطيع البرنامج الخبيث السيطرة على الجهاز المصاب، والتلاعب بواجهات المستخدم، وإجراء معاملات مالية غير مصرح بها. من الضروري إزالة البرنامج فورًا عند اكتشاف التهديد، لأن استمراره قد يؤدي إلى خسائر مالية، وانتهاكات للخصوصية، واختراق الجهاز على المدى الطويل.

جدول المحتويات

تقنيات التنفيذ بدون ملفات وتقنيات مكافحة التحليل

عند بدء التشغيل، يبدأ برنامج BeatBanker الخبيث بجمع معلومات أساسية عن الشبكة، بما في ذلك عنوان IP الخاص بالجهاز، ونوعه، وحالة استخدام VPN، وتفاصيل الاتصال ذات الصلة. وبدلاً من تخزين مكوناته الخبيثة كملفات على وحدة تخزين الجهاز، يقوم البرنامج بتحميل شفرته مباشرةً في الذاكرة. تقلل تقنية التنفيذ هذه، التي لا تعتمد على الملفات، بشكل كبير من احتمالية اكتشافه بواسطة أدوات أمان الأجهزة المحمولة التقليدية.

ولتجنب التحليل بشكل أكبر، يتحقق برنامج BeatBanker من تشغيله ضمن بيئة اختبار أو بحث، مثل بيئة محاكاة أو بيئة معزولة. وفي حال اكتشاف مثل هذه الظروف، يتوقف البرنامج الخبيث عن العمل فورًا. تساعد هذه الآلية الدفاعية في منع باحثي الأمن السيبراني والأنظمة الآلية من تحليل سلوكه.

الهندسة الاجتماعية عبر صفحات متجر جوجل بلاي المزيفة

بعد اجتياز فحوصات بيئة التشغيل، يعرض برنامج BeatBanker واجهة مزيفة تُشبه إلى حد كبير صفحة متجر Google Play لتطبيق يحمل اسم "INSS Reembolso"، ويدّعي زورًا أن تحديثًا للبرنامج مطلوب. وعندما يختار المستخدم خيار "التحديث"، يطلب البرنامج الخبيث الإذن بتثبيت تطبيقات ويقوم بتنزيل مكونات خبيثة مخفية.

بدلاً من الاعتماد على بنية جوجل بلاي الأصلية، يقوم البرنامج الخبيث بتثبيت هذه المكونات مباشرةً عن طريق استغلال صلاحيات التثبيت المرتفعة. ولضمان استمراريته، يُنشئ البرنامج إشعارًا مُضللاً بتحديث النظام، ويُشغّل خدمة تعمل في الخلفية لتشغيل الوسائط بصمت، مما يمنع نظام التشغيل من إنهاء العملية الخبيثة.

تعدين العملات المشفرة على أجهزة الضحايا

إحدى الحمولة الخفية لبرنامج BeatBanker الخبيث هي برنامج تعدين عملات مشفرة مُدمج في ملف يتم تنزيله. هذا المكون عبارة عن نسخة مُعدّلة من برنامج XMRig، مُصممة لاستغلال موارد وحدة المعالجة المركزية للجهاز المُصاب لتعدين العملات المشفرة لصالح المُهاجمين.

يدير البرنامج الخبيث عملية التعدين بذكاء من خلال مراقبة معايير النظام مثل مستوى البطارية ودرجة حرارة الجهاز ونشاط المستخدم. وبناءً على هذه الظروف، يمكن للبرنامج بدء أو إيقاف عملية التعدين تلقائيًا لتقليل الشكوك وإطالة أمد الإصابة.

آليات سرقة العملات المشفرة وأنظمة التجسس المصرفي

إلى جانب قدرة التعدين للعملات الرقمية، يقوم برنامج BeatBanker بنشر حصان طروادة مصرفي يحاول الحصول على أذونات الوصول. يُمكّن منح هذه الأذونات المهاجمين من التحكم في واجهة الجهاز ومراقبة تفاعلات المستخدم.

يتتبع البرنامج الخبيث بنشاط التطبيقات المفتوحة ويستهدف تحديدًا منصات العملات المشفرة مثل باينانس وتراست واليت، مع التركيز بشكل خاص على معاملات USDT. عندما يبدأ الضحية عملية تحويل، يقوم برنامج BeatBanker باستبدال واجهة المعاملة الأصلية بشاشة مزيفة. خلال هذه العملية، يستبدل البرنامج الخبيث عنوان المستلم المقصود بعنوان يتحكم به المهاجمون، مما يؤدي إلى إعادة توجيه الأموال دون علم الضحية.

يقوم النظام المصرفي أيضاً بتقييم وجود العديد من متصفحات الجوال الشائعة الاستخدام، ويجمع معلومات التصفح. كما يمكنه التلاعب بالروابط المحفوظة داخل المتصفح الافتراضي عن طريق إضافة أو تعديل أو حذف أو عرض الروابط، ويمكنه فتح عناوين URL التي يوفرها المهاجم.

قدرات القيادة والتحكم ومعالجة الأجهزة

يتواصل برنامج BeatBanker الخبيث مع خادم التحكم والسيطرة، مما يسمح للمهاجمين بإدارة الأجهزة المصابة عن بُعد وإصدار الأوامر. ومن خلال هذه البنية التحتية، يستطيع البرنامج تنفيذ مجموعة واسعة من الإجراءات الضارة، بما في ذلك عرض تحديثات نظام وهمية، وقفل شاشة الجهاز، واستخراج محتويات الحافظة، وإرسال تسجيلات صوتية إلى الجهات الخبيثة.

تشمل القدرات الإضافية إمكانية إرسال رسائل نصية قصيرة، وفتح روابط يتحكم بها المهاجم في المتصفحات، وتحديث بيانات الاعتماد المخزنة، وعرض قائمة الملفات المخزنة على الجهاز. كما يمكن للبرمجية الخبيثة تنفيذ إجراءات تخريبية مثل حذف الملفات، وإعادة ضبط المصنع، أو إلغاء تثبيت نفسها لإزالة آثارها بعد إتمام العملية.

ميزات المراقبة واستخلاص البيانات

إلى جانب السرقة المالية، يعمل برنامج BeatBanker كأداة مراقبة شاملة. فهو قادر على تسجيل ضغطات المفاتيح، واستخراج النصوص المعروضة على الشاشة، والتقاط لقطات شاشة، وبث شاشة الجهاز مباشرةً. وتتيح المراقبة المستمرة للتطبيقات قيد التشغيل للمهاجمين مراقبة سلوك المستخدم وجمع معلومات حساسة.

يحتوي البرنامج الخبيث أيضًا على آليات إضافية للتحكم في الجهاز، بما في ذلك مراقبة التطبيقات، وجدار حماية مدمج يمكنه حظر أو السماح بتطبيقات محددة، وإنشاء إشعارات مستمرة، والقدرة على إدارة اتصالات VPN.

آليات إساءة استخدام الأذونات واستمرارها

يعتمد برنامج BeatBanker الخبيث بشكل كبير على أذونات نظام أندرويد عالية الخطورة، مما يمنحه سيطرة واسعة على الجهاز. تسمح هذه الأذونات للبرنامج بالبقاء في النظام، وأتمتة الإجراءات، وتنفيذ الأوامر دون علم المستخدم.

تشمل القدرات الرئيسية التي تتيحها هذه الأذونات ما يلي:

إمكانية الوصول، مما يسمح بالنقرات والتمريرات الآلية، والتلاعب بالواجهة
أذونات التراكب التي تسمح بظهور شاشات وهمية فوق التطبيقات الشرعية
السماح بتثبيت التطبيقات من مصادر غير معروفة، مما يتيح التثبيت الصامت لمكونات ضارة إضافية
القدرة على فتح الروابط، وتنفيذ رموز USSD، ونشر حزم برامج ضارة إضافية

تُحوّل هذه الامتيازات الجهاز المصاب إلى منصة يتم التحكم فيها عن بُعد وقادرة على تنفيذ عمليات خبيثة معقدة.

نسخة جديدة متنكرة في هيئة تطبيق ستارلينك

اكتشف باحثون أمنيون نسخةً جديدةً من برنامج BeatBanker الخبيث، تتنكر في هيئة تطبيق StarLink مزيف يستهدف مستخدمي أندرويد. وعلى عكس الإصدارات السابقة، لا تقوم هذه النسخة بتثبيت مكون حصان طروادة المصرفي التقليدي.

بدلاً من ذلك، يقوم بنشر حصان طروادة BTMOB للإدارة عن بُعد (RAT). يمنح BTMOB المهاجمين وصولاً كاملاً عن بُعد إلى الأجهزة المخترقة، ويتم توزيعه كبرنامج خبيث كخدمة (MaaS)، مما يُمكّن مجرمي الإنترنت من شراء الأداة ونشرها دون الحاجة إلى تطوير بنية تحتية خاصة بهم للبرامج الخبيثة.

ناقل العدوى والأثر التشغيلي

تبدأ إصابات برنامج BeatBanker عادةً بحملة تصيّد إلكتروني تُوجّه الضحايا إلى مواقع ويب احتيالية مُصممة لتشبه متجر Google Play الرسمي. ويتم إقناع المستخدمين بتنزيل تطبيقات خبيثة تنتحل صفة خدمات حكومية مثل "INSS Reembolso" أو تطبيقات أدوات وهمية مماثلة.

يصبح الجهاز مخترقاً بمجرد تثبيت الضحية للتطبيق المزيف. بعد التفعيل، يسترجع برنامج BeatBanker مكونات إضافية، بما في ذلك برنامج تعدين العملات المشفرة، ويؤسس وصولاً دائماً إلى الجهاز.

تتيح القدرات المُجتمعة للبرمجيات الخبيثة للمهاجمين تعدين العملات المشفرة، وسرقة البيانات المالية، والتلاعب بالمعاملات، والتحكم عن بُعد في الأجهزة المُصابة. كما تقوم بعض أنواعها بنشر برمجيات خبيثة إضافية مثل BTMOB، مما يمنح المُهاجمين وصولاً مُطولاً وغير مُقيد إلى الأنظمة المُخترقة.

إعلان شركة Digital River GmbH، وهي شركة معالجة المدفوعات التابعة لشركة EnigmaSoft، إفلاسها لا يؤثر على حماية عملاء SpyHunter من البرامج الضارة

بحث

تغيير المنطقة

حصان طروادة المصرفي من بيت بانكر

تقنيات التنفيذ بدون ملفات وتقنيات مكافحة التحليل

الهندسة الاجتماعية عبر صفحات متجر جوجل بلاي المزيفة

تعدين العملات المشفرة على أجهزة الضحايا

آليات سرقة العملات المشفرة وأنظمة التجسس المصرفي

قدرات القيادة والتحكم ومعالجة الأجهزة

ميزات المراقبة واستخلاص البيانات

آليات إساءة استخدام الأذونات واستمرارها

نسخة جديدة متنكرة في هيئة تطبيق ستارلينك

ناقل العدوى والأثر التشغيلي

إرسال تعليق

الشائع

Precludestore.com

Tarwils.com

Suddslife.com

الأكثر مشاهدة

كيفية إصلاح "يتعذر على macOS التحقق من خلو هذا...

Eporner.com

XHAMSTER Ransomware