تم اكتشاف نوع جديد من البرامج الخبيثة التي تستهدف البرامج المصرفية عبر الهاتف المحمول. هذه البرامج تسيء استخدام ميزات إمكانية الوصول في Android لاستخراج البيانات الحساسة من التطبيقات المالية ، وقراءة رسائل SMS للمستخدم ، واختطاف رموز المصادقة ثنائية العوامل المستندة إلى SMS.
يطلق على برنامج “EventBot” من قبل باحثي Cybereason ، البرامج الضارة قادرة على استهداف أكثر من 200 تطبيق مالي مختلف ، بما في ذلك الخدمات المصرفية وخدمات تحويل الأموال ومحافظ العملات المشفرة مثل Paypal Business و Revolut و Barclays و CapitalOne و HSBC و Santander و TransferWise و Coinbase.
وقال الباحثون أن EventBot مثيرة للاهتمام بشكل خاص لأنها تخضع للتحسينات التكرارية المستمرة ، وتسيء استخدام ميزة نظام تشغيل حرجة ، وتستهدف التطبيقات المالية.
الحملة ، التي تم تحديدها لأول مرة في مارس 2020 ، تخفي نيتها الخبيثة من خلال التظاهر بأنها تطبيقات مشروعة (مثل Adobe Flash و Microsoft Word) ، والتي ، عند تثبيتها ، تطلب أذونات واسعة النطاق على الجهاز.
تتضمن الأذونات الوصول إلى إعدادات إمكانية الوصول ، والقدرة على القراءة من وحدة التخزين الخارجية ، وإرسال واستقبال رسائل SMS ، والتشغيل في الخلفية ، وتشغيل نفسها بعد تمهيد النظام.
إذا منح المستخدم حق الوصول ، فإن EventBot يعمل كمسجل مفاتيح ويمكنه “استرداد الإشعارات حول التطبيقات الأخرى المثبتة ومحتوى النوافذ المفتوحة” ، بالإضافة إلى استغلال خدمات إمكانية الوصول في Android للحصول على رقم التعريف الشخصي لقفل الشاشة ونقل جميع البيانات التي تم جمعها بتنسيق مشفر إلى خادم يتحكم به المهاجم.
كما أن القدرة على تحليل رسائل SMS تجعل طروادة الخدمات المصرفية أداة مفيدة لتجاوز المصادقة الثنائية التي تعتمد على الرسائل القصيرة ، مما يتيح للخصوم الوصول بسهولة إلى محافظ العملات المشفرة للضحية وسرقة الأموال من الحسابات المصرفية.
وخلص باحثو Cybereason إلى أن “وصول المهاجمين إلى جهاز محمول يمكن أن يكون له عواقب وخيمة على الأعمال ، خاصة إذا كان المستخدم النهائي يستخدم جهازه المحمول لمناقشة موضوعات تجارية حساسة أو الوصول إلى المعلومات المالية للمؤسسة”. “يمكن أن يؤدي هذا إلى تدهور العلامة التجارية أو فقدان سمعة الفرد أو فقدان ثقة المستهلك.”
قد لا تكون عائلة التطبيقات الضارة من EventBot نشطة على متجر Google Play ، ولكنها تذكير آخر لسبب وجوب التزام المستخدمين بمتاجر التطبيقات الرسمية وتجنب تحميل التطبيقات من مصادر غير موثوقة. يمكن أن يؤدي تحديث البرنامج باستمرار وتشغيل Google Play Protect إلى قطع شوط طويل في حماية الأجهزة من البرامج الضارة.
المصدر : هنا
