عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة برنامج Massiv Mobile الخبيث

برنامج Massiv Mobile الخبيث

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة, حصان طروادة المصرفي
ترجمة الى:

كشف محللو الأمن السيبراني عن حصان طروادة مصرفي متطور لنظام أندرويد يُعرف باسم "ماسيف"، مصمم لتنفيذ هجمات الاستيلاء على الأجهزة بهدف السرقة المالية. يتنكر هذا البرنامج الخبيث في هيئة تطبيقات IPTV شرعية، مستهدفًا الأفراد الذين يبحثون عن خدمات التلفزيون عبر الإنترنت.

على الرغم من رصدها في عدد محدود من الحملات المركزة، إلا أن مستوى التهديد كبير. فبمجرد تثبيتها، تُمكّن برمجية Massiv الخبيثة المهاجمين من التحكم عن بُعد في الأجهزة المخترقة، وإجراء معاملات احتيالية، واستغلال حسابات الخدمات المصرفية عبر الهاتف المحمول للضحايا بشكل مباشر.

تم رصد البرمجية الخبيثة مبدئياً في حملات استهدفت مستخدمين في البرتغال واليونان في وقت سابق من هذا العام. ومع ذلك، فقد تتبعت التحليلات الجنائية عينات من هذه البرمجية الخبيثة إلى أوائل عام 2025، مما يشير إلى عمليات اختبار سابقة أصغر حجماً.

استخلاص بيانات الاعتماد المتقدمة ومعالجة الطبقات

يشتمل برنامج Massiv الخبيث على إمكانيات شائعة في برامج التجسس المصرفية المتقدمة لنظام أندرويد. وهو يُسهّل سرقة بيانات الاعتماد عبر تقنيات متعددة، تشمل بث الشاشة باستخدام واجهة برمجة تطبيقات MediaProjection الخاصة بنظام أندرويد، وتسجيل ضغطات المفاتيح، واعتراض الرسائل النصية القصيرة، ووضع طبقات خادعة فوق تطبيقات مصرفية ومالية شرعية. تحث هذه الطبقات المستخدمين على إدخال بيانات تسجيل الدخول ومعلومات بطاقات الائتمان.

استهدفت حملةٌ بارزةٌ تطبيق gov.pt الحكومي البرتغالي تحديدًا، وهو تطبيقٌ يُستخدم لتخزين وثائق الهوية وإدارة المفتاح الرقمي للهاتف المحمول (Chave Móvel Digital أو CMD). انتحلت الطبقة الخبيثة واجهة التطبيق الرسمية وطلبت أرقام هواتف المستخدمين ورموز التعريف الشخصية (PIN)، على الأرجح للتحايل على إجراءات التحقق من هوية العميل (KYC).

كشفت التحقيقات أيضاً عن حالات استُخدمت فيها بيانات مسروقة لفتح حسابات مصرفية جديدة بأسماء الضحايا. واستُخدمت هذه الحسابات الاحتيالية لاحقاً في عمليات غسل الأموال أو طلبات قروض غير مصرح بها، كل ذلك دون علم الضحايا.

إمكانيات التحكم عن بعد والتهرب من التقاط الشاشة

إلى جانب سرقة بيانات الاعتماد، يعمل برنامج Massiv كأداة وصول عن بُعد فعّالة تمامًا. فهو يمنح المهاجمين تحكمًا سريًا في الأجهزة المصابة مع عرض شاشة سوداء لإخفاء النشاط الخبيث. تستغل هذه التقنيات خدمات إمكانية الوصول في نظام Android، وهو أسلوب يُستخدم أيضًا في برامج خبيثة أخرى تستهدف البنوك مثل Crocodilus وDatzbro وKlopatra.

تُطبّق بعض التطبيقات المالية آليات حماية لالتقاط الشاشة. ولتجاوز هذه الحماية، يستخدم برنامج Massiv تقنية تُعرف باسم "وضع شجرة واجهة المستخدم". تتنقل هذه الطريقة عبر جذور AccessibilityWindowInfo وتعالج بشكل متكرر كائنات AccessibilityNodeInfo لإعادة بناء تمثيل مفصل للواجهة المرئية للجهاز.

يُنشئ البرنامج الخبيث خريطة JSON مُهيكلة تحتوي على نصوص مرئية، ووصف للمحتوى، وعناصر واجهة المستخدم، وإحداثيات الشاشة، وعلامات تفاعل تُشير إلى ما إذا كانت العناصر قابلة للنقر، أو التحرير، أو التركيز عليها، أو التفعيل. ويتم إرسال العُقد المرئية التي تحتوي على نص فقط إلى بنية التحكم الخاصة بالمهاجم، مما يسمح بالتفاعل الدقيق عن بُعد من خلال الأوامر المُصدرة.

وظائف خبيثة شاملة

يُجهز برنامج Massiv بمجموعة أدوات تشغيلية واسعة النطاق تُمكّن من التحكم بالأجهزة بشكل مكثف والحفاظ على البيانات. وتشمل قدراته ما يلي:

  • تفعيل أو تعطيل طبقة الشاشة السوداء، وكتم الصوت والاهتزاز
  • بث شاشة الجهاز وإرسال معلومات الجهاز
  • تنفيذ إيماءات النقر والتمرير عن بُعد
  • تعديل محتوى الحافظة
  • فتح الجهاز باستخدام مصادقة النمط
  • نشر طبقات إضافية لتطبيقات أو شاشات قفل محددة
  • تنزيل حزم التراكب وتثبيت ملفات APK إضافية
  • فتح إعدادات النظام مثل تحسين البطارية، وإدارة الجهاز، وحماية بلاي
  • طلب أذونات الرسائل النصية القصيرة وتثبيت الحزم
  • مسح قواعد بيانات سجلات الجهاز

تتيح هذه الوظائف مجتمعة للمهاجمين الحفاظ على السيطرة، وتجنب الكشف، وتنفيذ عمليات الاحتيال المالي بدقة.

أساليب التوزيع: برامج التوزيع ذات الطابع التلفزيوني عبر الإنترنت

ينتشر برنامج Massiv الخبيث عبر حملات التصيد الاحتيالي عبر الرسائل النصية القصيرة باستخدام تطبيقات برمجية تُحاكي خدمات IPTV. بعد التثبيت، يحثّ التطبيق الضحية على تثبيت تحديث "هام" ويطلب الإذن بتثبيت تطبيقات من مصادر خارجية.

تشمل العناصر الخبيثة التي تم تحديدها ما يلي:

  • IPTV24 (hfgx.mqfy.fejku) – تطبيق دروبر
  • جوجل بلاي (hobfjp.anrxf.cucm) – حمولة ضخمة

في معظم الحالات الموثقة، لم تتعرض تطبيقات IPTV المشروعة للاختراق. بدلاً من ذلك، قام برنامج التثبيت بعرض محتوى ويب متعلق بـ IPTV من خلال WebView، مما خلق وهمًا بوجود وظائف بينما كان البرنامج الخبيث يعمل في الخلفية.

على مدى الأشهر الستة الماضية، استهدفت حملات مماثلة ذات طابع تلفزيوني بشكل أساسي إسبانيا والبرتغال وفرنسا وتركيا.

مؤشرات التسويق والتطوير المستمر

يدخل برنامج Massiv إلى بيئة برمجيات خبيثة مشبعة بالفعل لنظام Android، مما يؤكد الطلب المستمر على حلول الاحتيال المالي الجاهزة داخل مجتمعات المجرمين الإلكترونيين.

على الرغم من عدم تأكيد تقديمها كخدمة برمجيات خبيثة حتى الآن، تشير التحليلات إلى وجود توجه نحو ذلك. ويُشير استخدام مفاتيح واجهة برمجة التطبيقات (API) للتواصل مع الواجهة الخلفية إلى جهدٍ لتوحيد العمليات، وربما تمكين استخدامها من قِبل جهات خارجية. كما يكشف استعراض الكود عن تطويرٍ نشط، مما يُشير إلى إمكانية ظهور ميزات إضافية وقدرات موسعة في الإصدارات القادمة.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
24,627
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...