برنامج Godfather Mobile Malware

أحدثت نسخة مُحسّنة حديثًا من برنامج "Godfather" الخبيث سيئ السمعة الذي يستهدف أجهزة أندرويد ضجة كبيرة في عالم الأمن السيبراني. فمن خلال نشر بيئات افتراضية معزولة على الأجهزة المصابة، يُمكّن هذا البرنامج الخبيث الخفي الآن من التجسس الفوري وسرقة بيانات الاعتماد والاحتيال المالي، كل ذلك متخفيًا تحت ستار تطبيقات مصرفية شرعية.

عوالم افتراضية للسرقة الحقيقية

يستخدم برنامج Godfather الخبيث المُحسّن إطار عمل افتراضي مُدمجًا في ملف APK يبدو غير ضار. بمجرد تثبيته، يتحقق من وجود أكثر من 500 تطبيق مُستهدف مُحتمل، بما في ذلك منصات الخدمات المصرفية والعملات المشفرة والتجارة الإلكترونية، وينقلها إلى بيئة افتراضية. يُحاكي هذا الإعداد تكتيكًا استخدمه FjordPhantom في عام 2023، ولكنه يتجاوز ذلك بكثير في نطاقه وتعقيده.

على عكس برامج Android الضارة القياسية، يستفيد Godfather من المحاكاة الافتراضية لتشغيل التطبيقات المستهدفة داخل حاويات خاضعة للرقابة، مما يتيح:

• سرقة بيانات الاعتماد في الوقت الفعلي واعتراض الاستجابة الخلفية
• محاكاة بصرية سلسة للتطبيقات المشروعة
• التهرب من آليات الأمان المضمنة في نظام Android

الاستحواذ غير المرئي عبر StubActivity

جزءٌ أساسيٌّ من هذا الخداع هو استخدام StubActivity، وهو عنصرٌ بديلٌ داخل البرنامج الخبيث يُشغّل تطبيقاتٍ افتراضية دون الكشف عن أي واجهة مستخدم أو منطقٍ حقيقيٍّ خاصٍّ به. عندما يحاول الضحية الوصول إلى تطبيقه المصرفيّ الشرعيّ، يعترض Godfather العملية باستخدام امتيازات خدمة إمكانية الوصول الخاصة به، ويُعيد توجيهها إلى الحاوية الافتراضية، مُظهرًا واجهة التطبيق الحقيقية مع التحكّم الكامل في تفاعلات المستخدم.

تخدع هذه الخدعة نظام Android وتجعله يعتقد أنه يقوم بتشغيل تطبيق آمن بينما تتم مراقبة جميع الإجراءات الحساسة، من كتابة رقم التعريف الشخصي (PIN) إلى تأكيد المعاملات، ويتم اختراقها.

تحت الغطاء: الأدوات والتقنيات

ولإنجاز عملياتها المعقدة، تعتمد Godfather على مزيج من التقنيات مفتوحة المصدر والهندسة الذكية:

محرك VirtualApp – يدعم إنشاء الحاويات المعزولة.

Xposed Framework – يتصل بواجهات برمجة تطبيقات Android لتسجيل المدخلات والاستجابات.

انتحال النية – اختطاف الأوامر المخصصة للتطبيقات المشروعة وإعادة توجيهها.

نظام الملفات الافتراضي ومعرفات العملية – يدعم تكرار البيئة بشكل سلس.

في لحظات مهمة، يقوم البرنامج الخبيث بتغطية شاشات قفل مزيفة أو شاشات تحديث لحث المستخدمين على إدخال بيانات اعتماد حساسة، والتي يتم استخراجها بعد ذلك إلى المهاجمين.

نظرة إلى الوراء: تطور العراب

ظهر برنامج "العراب" لأول مرة في مارس 2021، وتطور بشكل ملحوظ منذ ذلك الحين. في نسخته الصادرة في ديسمبر 2022، استهدف البرنامج الخبيث 400 تطبيق في 16 دولة باستخدام هجمات تراكب HTML. أما النسخة الحالية، فتستخدم المحاكاة الافتراضية الكاملة، مما يوسّع نطاق انتشاره ليشمل أكثر من 500 تطبيق حول العالم. وبينما يبدو أن الحملة الأخيرة تركز على اثني عشر بنكًا تركيًا، فإن البنية التحتية جاهزة للتوسع عالميًا.

كيفية البقاء محميًا

لتقليل خطر الوقوع ضحية للتهديدات المتقدمة مثل Godfather، يجب على المستخدمين اتباع أفضل ممارسات الأمن السيبراني التالية:

• تنزيل آمن
• قم بتثبيت التطبيقات من Google Play أو من مصادر موثوقة فقط.
• تجنب تحميل ملفات APK جانبيًا ما لم يكن الناشر يتمتع بسمعة طيبة وتم التحقق منه.
• ممارسة تطبيق اليقظة
• احرص على تمكين Google Play Protect.
• راقب أذونات التطبيق، وخاصة طلبات خدمات إمكانية الوصول.
• كن حذرًا من شاشات القفل غير المتوقعة أو مطالبات التحديث.

يُشير الإصدار الأخير من Godfather إلى تحوّل نحو تهديدات جوال أكثر تعقيدًا، تُطمس الخط الفاصل بين النشاط الخبيث وسلوك التطبيقات المشروع. يُعدّ البقاء على اطلاع والحذر خط الدفاع الأول.