حصان طروادة المصرفي Klopatra

اخترق حصان طروادة مصرفي يعمل بنظام أندرويد، لم يكن معروفًا من قبل، يُدعى Klopatra، أكثر من 3000 جهاز، وكانت إسبانيا وإيطاليا الأكثر تضررًا. اكتشفه باحثون في مجال أمن المعلومات في أواخر أغسطس 2025، وهو برنامج خبيث متطور يمزج بين قدرات حصان طروادة للوصول عن بُعد (RAT) وتقنيات تهرب متقدمة، مستهدفًا المعلومات المالية ومُمكّنًا من إجراء معاملات احتيالية.

تقنيات الهجوم المتطورة والتحكم عن بعد

يستخدم Klopatra تقنية الحوسبة الشبكية الافتراضية المخفية (VNC) للتحكم عن بُعد في الأجهزة المصابة. ويستخدم تراكبات ديناميكية لسرقة بيانات الاعتماد وتنفيذ معاملات غير مصرح بها. بخلاف برامج التجسس التقليدية على الأجهزة المحمولة، يدمج Klopatra مكتبات أصلية ومجموعة حماية برمجيات Virbox التجارية، مما يجعل الكشف والتحليل غاية في الصعوبة.

يشير تحليل البنية التحتية للقيادة والتحكم (C2) للبرمجية الخبيثة والدلائل اللغوية لها إلى أن جماعة إجرامية ناطقة باللغة التركية تُشغّل Klopatra كشبكة بوت نت خاصة، بدلاً من تقديمها كخدمة برمجية خبيثة عامة (MaaS). منذ مارس 2025، تم تحديد 40 نسخة مختلفة من حصان طروادة.

كيف يتم إغراء الضحايا

ينتشر Klopatra عبر أساليب الهندسة الاجتماعية، حيث يخدع المستخدمين لتثبيت تطبيقات وهمية تتظاهر بأنها أدوات غير ضارة، مثل تطبيقات بث IPTV. تستغل هذه التطبيقات رغبة المستخدمين في تثبيت برامج مقرصنة من مصادر غير موثوقة.

بمجرد تثبيته، يطلب البرنامج الخبيث أذونات لتثبيت حزم من مصادر غير معروفة. ثم يستخرج حمولة Klopatra الرئيسية من حزمة JSON مدمجة. يطلب البرنامج الخبيث أيضًا خدمات إمكانية الوصول إلى نظام أندرويد، والتي، على الرغم من أنها مصممة لمساعدة المستخدمين ذوي الإعاقة، يمكن إساءة استخدامها لأغراض مثل:

• قراءة محتويات الشاشة
• تسجيل ضربات المفاتيح
• تنفيذ الإجراءات بشكل مستقل

يتيح هذا للمهاجمين ارتكاب عمليات احتيال مالي دون علم الضحية.

هندسة متقدمة للتخفي والمرونة

تتميز Klopatra بتصميمها المتطور والمرن:

• يوفر تكامل Virbox حماية للبرامج الضارة من التحليل.
• تم نقل الوظائف الأساسية من Java إلى المكتبات الأصلية لتحسين التخفي.
• تعيق عمليات التعتيم المكثفة للكود ومكافحة التصحيح وفحوصات سلامة وقت التشغيل عملية الكشف.

ويقوم البرنامج الخبيث أيضًا بتعطيل برامج مكافحة الفيروسات المثبتة مسبقًا ويمكنه تصعيد أذوناتها باستخدام خدمات إمكانية الوصول لمنع الإنهاء.

تنفيذ الاحتيال والتوقيت الاستراتيجي

يتبع مشغلو كلوباترا تسلسل هجوم منظم بعناية:

• تأكد من أن الجهاز قيد الشحن، وأن الشاشة مغلقة، وأن الجهاز في وضع الخمول.
• قم بخفض سطوع الشاشة إلى الصفر وعرض طبقة سوداء.
• استخدم أرقام التعريف الشخصية أو الأنماط المسروقة للوصول إلى تطبيقات الخدمات المصرفية.
• تنفيذ العديد من التحويلات المصرفية الفورية دون أن يتم اكتشافها.

تضمن هذه الاستراتيجية الليلية بقاء الأجهزة قيد التشغيل دون مراقبة، مما يمنح المهاجمين فرصة مثالية للعمل أثناء نوم الضحايا.

التأثيرات على القطاع المالي

مع أن Klopatra لا يُعيد ابتكار البرمجيات الخبيثة المُوجهة للأجهزة المحمولة، إلا أنه يُمثل تطورًا ملحوظًا في تعقيد التهديدات. فمن خلال تبني حماية تجارية وتكتيكات سرية، يُحقق المُشغلون أقصى قدر من الربحية وإطالة عمر عملياتهم.

وأكدت شركة جوجل عدم العثور على أي تطبيقات مصابة على متجر جوجل بلاي، ولكن اعتماد البرمجيات الخبيثة على قنوات توزيع التطبيقات المقرصنة والتابعة لجهات خارجية يؤكد على الخطر المستمر الذي يهدد مستخدمي الهواتف المحمولة.