Perseus Banking Malware
حدد محللو الأمن السيبراني عائلة جديدة من البرمجيات الخبيثة لنظام أندرويد تُعرف باسم "بيرسيوس"، والتي تُستخدم على نطاق واسع في بيئات التشغيل الحقيقية لتمكين السيطرة على الأجهزة وتنفيذ عمليات احتيال مالي. يُمثل هذا التهديد تطورًا هامًا في مجال البرمجيات الخبيثة للأجهزة المحمولة، حيث يجمع بين تقنيات راسخة ومرونة تشغيلية مُحسّنة.
جدول المحتويات
التطور من سلالات البرامج الضارة المثبتة
يستند برنامج بيرسيوس الخبيث إلى برمجيات سيربيروس وفينيكس الخبيثة لنظام أندرويد، وهما من أشهر برامج التجسس المصرفية على أندرويد. تم توثيق سيربيروس لأول مرة في أغسطس 2019، حيث استغل خدمات الوصول في أندرويد لرفع مستوى صلاحياته، وجمع البيانات الحساسة، وتنفيذ هجمات التراكب لسرقة بيانات الاعتماد. بعد تسريب شفرته المصدرية في عام 2020، ظهرت نسخ مشتقة منه، منها ألين وإيرماك وفينيكس.
يُوسّع برنامج بيرسيوس قاعدة بيانات فينيكس، مُطوّراً إياها إلى منصة أكثر مرونة وقدرة. وتشير مؤشرات مثل التسجيل المكثف داخل التطبيق ووجود عناصر برمجية غير مألوفة إلى أن الجهات الخبيثة ربما استعانت بنماذج لغوية ضخمة (LLM) أثناء التطوير.
ناقل العدوى: الهندسة الاجتماعية عبر تطبيقات IPTV
تعتمد استراتيجية التوزيع بشكل كبير على الهندسة الاجتماعية. يتم توزيع برنامج بيرسيوس الخبيث عبر تطبيقات تحميل مُستضافة على مواقع ويب مُضللة، وغالبًا ما يتم إخفاؤها على أنها خدمات IPTV. يُحاكي هذا النهج حملات مرتبطة ببرنامج ماسيف الخبيث لنظام أندرويد، والذي يستهدف المستخدمين الذين يسعون للوصول غير المصرح به إلى محتوى البث المدفوع.
من خلال تضمين برامج خبيثة داخل تطبيقات IPTV التي تبدو شرعية، يقلل المهاجمون من شكوك المستخدمين ويزيدون بشكل كبير من معدلات نجاح الإصابة. استهدفت الحملة بشكل أساسي مستخدمين في مناطق متعددة، بما في ذلك تركيا وإيطاليا وبولندا وألمانيا وفرنسا والإمارات العربية المتحدة والبرتغال.
سلسلة نشر البرامج الضارة والآثار المعروفة
تم تحديد العديد من التطبيقات كجزء من النظام البيئي لتوزيع بيرسيوس:
- Roja App Directa (com.xcvuc.ocnsxn) – تطبيق القطارة
- تطبيق TvTApp (com.tvtapps.live) – الحمولة الأساسية لـ Perseus
- PolBox TV (com.streamview.players) – نسخة ثانوية من الحمولة
تُعد هذه التطبيقات بمثابة نقاط دخول لتثبيت البرامج الضارة على الأجهزة المخترقة.
قدرات متقدمة للاستحواذ على الأجهزة
يستغل برنامج بيرسيوس خدمات إمكانية الوصول في نظام أندرويد لإنشاء جلسات عن بُعد، مما يتيح المراقبة الآنية والتفاعل الدقيق مع الأجهزة المصابة. تسمح هذه الخاصية بالسيطرة الكاملة على الجهاز، مما يمنح المهاجمين تحكمًا واسعًا في نشاط المستخدم.
على عكس برامج التجسس المصرفية التقليدية، يتجاوز برنامج بيرسيوس مجرد جمع بيانات الاعتماد، إذ يقوم بمراقبة تطبيقات تدوين الملاحظات بشكل فعّال. يشير هذا السلوك إلى تركيز متعمد على استخراج معلومات شخصية ومالية قيّمة قد لا تُخزّن في حقول بيانات الاعتماد التقليدية.
تقنيات الهجوم الأساسية: التراكب واعتراض المدخلات
بمجرد تفعيله، يستخدم برنامج بيرسيوس الخبيث تقنيات معروفة لاختراق تطبيقات الخدمات المصرفية على نظام أندرويد. ويشن هجمات تراكب لعرض واجهات احتيالية فوق تطبيقات الخدمات المصرفية وتطبيقات العملات الرقمية المشروعة، ما يسمح بالتقاط بيانات اعتماد المستخدم في الوقت الفعلي. بالإضافة إلى ذلك، يتم استخدام تسجيل ضغطات المفاتيح لاعتراض البيانات الحساسة المدخلة أثناء إدخالها.
عمليات القيادة والتحكم: إطار عمل التلاعب عن بعد
يتم التحكم في البرمجيات الخبيثة من خلال بنية تحتية للتحكم والسيطرة، مما يسمح للمشغلين بإصدار الأوامر، والتلاعب بسلوك الأجهزة، والموافقة على المعاملات الاحتيالية. تشمل الأوامر الرئيسية المدعومة ما يلي:
- استخراج البيانات والمراقبة (على سبيل المثال، التقاط الملاحظات من تطبيقات مثل Google Keep و Evernote و Microsoft OneNote)
- إدارة الجلسات عن بُعد عبر VNC وHVNC للتفاعل مع واجهة المستخدم في الوقت الفعلي أو بشكل منظم
- التقاط لقطة شاشة باستخدام خدمات إمكانية الوصول
- التحكم في التطبيقات، بما في ذلك تشغيل التطبيقات أو إزالة القيود.
- أساليب خداع المستخدم مثل تراكبات الشاشة السوداء وكتم الصوت
- التثبيت القسري من مصادر غير معروفة ومحاكاة تفاعلات المستخدم
تتيح هذه المجموعة الشاملة من الأوامر للمهاجمين الحفاظ على سيطرة مستمرة وسرية على الأجهزة المخترقة.
أساليب التهرب والوعي البيئي
يستخدم برنامج بيرسيوس تقنيات متقدمة لمكافحة التحليل لتجنب الكشف عنه. فهو يُجري فحوصات بيئية شاملة، بما في ذلك تحديد أدوات تصحيح الأخطاء، والتحقق من وجود بطاقة SIM، وتحليل عدد التطبيقات المثبتة، والتحقق من مقاييس البطارية للتأكد من تشغيله على جهاز حقيقي.
يقوم البرنامج الخبيث بتجميع هذه البيانات في "مؤشر اشتباه"، والذي يتم إرساله إلى خادم التحكم والسيطرة. وبناءً على هذا المؤشر، يحدد المشغلون ما إذا كانوا سيواصلون الاستغلال أم سيبقون في حالة خمول لتجنب الكشف.
الآثار الاستراتيجية: الكفاءة من خلال التطور
يُجسّد برنامج بيرسيوس التطور المستمر لبرمجيات أندرويد الخبيثة، حيث تُبنى التهديدات الجديدة بشكل متزايد على أطر عمل موجودة بدلاً من تطويرها من الصفر. ومن خلال الجمع بين القدرات الموروثة من برنامجي سيربيروس وفينيكس مع تحسينات مُوجّهة، مثل مراقبة الملاحظات وتحسين التحكم عن بُعد، يُحقق بيرسيوس توازناً بين الكفاءة والابتكار.
يعكس هذا النهج اتجاهاً أوسع في الجرائم الإلكترونية: إعطاء الأولوية للقدرة على التكيف، وقابلية التوسع، واستخراج البيانات ذات القيمة العالية، مما يجعل حملات البرامج الضارة الحديثة أكثر فعالية وأصعب في الكشف عنها.
