حصان طروادة Datzbro المصرفي

اكتشف باحثو الأمن السيبراني مؤخرًا برنامجًا خبيثًا مصرفيًا يعمل بنظام أندرويد، لم يُوثّق سابقًا، يُدعى Datzbro، مُصمّمًا لشنّ هجمات استحواذ على الأجهزة (DTO) وإجراء معاملات مالية احتيالية. يستهدف هذا البرنامج الخبيث المستخدمين المسنين بشكل أساسي، مستغلًا ثقتهم من خلال حملات هندسة اجتماعية عبر وسائل التواصل الاجتماعي.

الهندسة الاجتماعية من خلال مجموعات الفيسبوك

اكتُشفت الحملة لأول مرة في أغسطس 2025 بعد بلاغات من مستخدمين أستراليين. أدار مُخرِجون مجموعات على فيسبوك تُروِّج لـ"رحلات نشطة لكبار السن"، مُستهدفين كبار السن المهتمين بالأنشطة الاجتماعية والفعاليات والتجمعات الشخصية. وشملت المناطق الأخرى المُتأثرة سنغافورة وماليزيا وكندا وجنوب أفريقيا والمملكة المتحدة.

غالبًا ما تشارك مجموعات فيسبوك هذه محتوىً مُولّدًا بالذكاء الاصطناعي، مدّعيةً تنظيم فعاليات لكبار السن. إذا أبدى أحد المستهدفين اهتمامه، يتواصل معه المهاجمون عبر فيسبوك ماسنجر أو واتساب، ويطالبونه بتنزيل ملف APK من رابط احتيالي (مثل download.seniorgroupapps.com).

تعمل المواقع المزيفة على الترويج لما يسمى بالتطبيق المجتمعي، مدعيةً أنه سيسمح لكبار السن بما يلي:

• سجل للفعاليات والأنشطة.
• التواصل مع أعضاء المجموعة الآخرين.
• تتبع الجداول الزمنية القادمة.

تحتوي بعض المواقع أيضًا على روابط مؤقتة لتطبيق iOS، مما يشير إلى أن المهاجمين يهدفون إلى استهداف مستخدمي Android وiOS، وتوزيع تطبيقات TestFlight لنظام iOS في محاولة لخداع الضحايا.

كيف يصيب Datzbro الأجهزة

عندما يقوم الضحية بتنزيل تطبيق Android، فإنه إما:

• يقوم بتثبيت البرامج الضارة مباشرة على الجهاز، أو
• يتم نشر قطارة تم إنشاؤها باستخدام Zombinder، وهي خدمة ربط APK تتجاوز القيود الأمنية على نظام التشغيل Android 13 والإصدارات الأحدث.

تم تحديد العديد من التطبيقات الضارة التي تقوم بتوزيع Datzbro، بما في ذلك:

• مجموعة كبار السن (twzlibwr.rlrkvsdw.bcfwgozi)
• سنوات مفعمة بالحيوية (orgLivelyYears.browses646)
• ActiveSenior (com.forest481.security)
• DanceWave (inedpnok.kfxuvnie.mggfqzhl)

القدرات والتهديدات المالية

تتمتع Datzbro بمجموعة واسعة من وظائف مكافحة برامج التجسس والاحتيال المالي، بما في ذلك:

• تسجيل الصوت والتقاط الصور.
• الوصول إلى الملفات والصور.
• تنفيذ هجمات التراكب، وتسجيل لوحة المفاتيح، والتحكم في الأجهزة عن بعد.
• استخدام خدمات إمكانية الوصول لنظام Android لإجراء إجراءات تلقائية نيابة عن الضحية.

من أبرز ميزاته وضع التحكم التخطيطي عن بُعد، الذي يُرسل معلومات مُفصّلة عن جميع عناصر الشاشة وموقعها ومحتواها إلى المُهاجمين. يُمكّنهم هذا من محاكاة الواجهة والتحكم الكامل بالجهاز عن بُعد.

بالإضافة إلى ذلك، يمكن لـ Datzbro:

• عرض طبقات شبه شفافة مع نص مخصص لإخفاء النشاط الضار.
• سرقة أرقام التعريف الشخصية وكلمات المرور الخاصة بشاشة قفل الجهاز الخاصة بـ Alipay و WeChat.
• مسح سجلات أحداث إمكانية الوصول لتطبيقات الخدمات المصرفية أو محفظة العملات المشفرة واستخراج بيانات الاعتماد.

تسلط هذه الوظائف الضوء على تركيز البرمجيات الخبيثة على المكاسب المالية، وتحويل ما يبدأ كبرنامج تجسس إلى تهديد متطور لسرقة المعلومات المصرفية الحساسة.

البنية التحتية للإسناد والقيادة والتحكم

يشير التحليل إلى أن Datzbro مرتبط بجماعة تهديد ناطقة بالصينية، كما يتضح من سلاسل تصحيح الأخطاء والتسجيل الصينية في الشيفرة المصدرية للبرنامج الخبيث. بخلاف العديد من عائلات البرامج الضارة التي تعتمد على لوحات القيادة والتحكم (C2) عبر الويب، يتصل Datzbro بتطبيق سطح مكتب باللغة الصينية لعمليات القيادة والتحكم.

تم تسريب نسخة مجمعة من تطبيق C2 هذا إلى مستودع فيروسات عام، مما يشير إلى أن البرامج الضارة قد يتم توزيعها الآن بحرية بين مجرمي الإنترنت، مما يزيد من نطاقها المحتمل.

التأثيرات على أمن الهاتف المحمول

يُظهر اكتشاف Datzbro تطور تهديدات الأجهزة المحمولة، وخاصةً تلك التي تستغل الهندسة الاجتماعية لاستهداف الفئات الضعيفة. بالتركيز على كبار السن واستغلال فعاليات فيسبوك التي تبدو حميدة، يمكن للمهاجمين تصعيد تفاعل اجتماعي بسيط إلى الاستيلاء على الأجهزة وسرقة بيانات الاعتماد والاحتيال المالي.

تسلط هذه الحملة الضوء على أهمية اليقظة فيما يتعلق بأمن الأجهزة المحمولة، وخاصة بالنسبة للمستخدمين المسنين الذين قد يتم استهدافهم عبر شبكات التواصل الاجتماعي القائمة على الثقة.