منذ أن قُمنا بنشر أحد المقالات على المدونة حول برنامج سفبنج من عائلة تروجان، الذي يصيب الرسائل النصية القصيرة الخاصة بأجهزة الهواتف النقالة، ونظام التشغيل أندرويد ـ قام المجرمون الإلكترونيون بتحسين وظائف هذا البرنامج، والآن أصبح سفبنج قادرًا على القيام بعمليات التصيُّد الاحتيالي أيضًا، في محاولةٍ منه للسرقة، والاستيلاء على البيانات المالية للمستخدمين.
فعندما يُطلِق أحد المستخدمين التطبيق المالي الخاص بأحد أكبر المصارف في روسيا، فإن برنامج تروجان سفبنج يستبدل النافذة المفتوحة بنافذة تصيُّدٍ أخرى، صُممت خصيصًا للاستيلاء على بيانات الدخول، وكلمة المرور الخاصة بالضحية، ونظام الخدمات المصرفية على الإنترنت:
يتم إرسال البيانات التي يُدخلها المستخدم إلى المجرمين الإلكترونيين.
عبر استخدام نفس الطريقة، يحاول البرنامج الخبيث أن يستولي على معلوماتٍ عن البطاقة المصرفية للمستخدم؛ حيث يقوم برنامج تروجان سفبنج بفحص “جوجل بلاي” إذا كان في وضع عمل:
في حال أطلق المستخدم البرنامج، يعرض برنامج تروجان سفبنج نافذةً على الجزء العلوي من نافذة “جوجل بلاي”، تطلب من المستخدم إدخال تفاصيل البطاقة المصرفية الخاصة به/ بها:
يتم إرسال جميع البيانات التي أدخلها المستخدم على الفور، إلى المجرمين الإلكترونيين.
قد يتبادر إلى ذهن القارئ، أنه يمكن لبرنامج تروجان سفبنج أن يستولي على ويسرق الأموال المودعة في الحسابات المصرفية، للمستخدمين الضحايا؛ فبعد إطلاق البرنامج مباشرةً، تُرسَل رسائل نصية قصيرة “SMS” إلى أرقامٍ تابعةٍ لاثنتين من كبرى المؤسسات المصرفية في روسيا.
بهذه الطريقة، يقوم البرنامج بعملية الفحص، والتحقق في حال كانت بطاقات هذه المصارف مُرفقًا بها رقم الهاتف المصاب بالعدوى؛ حيث يقوم باستكشاف الرصيد، ومن ثَم إرساله إلى خادم الأوامر والمراقبة الخبيث. إذا كان رقم الهاتف مرفقًا بالبطاقة المصرفية، فإن الأوامر قد تصدر من خادم الأوامر والمراقبة، لتحويل الأموال من الحساب المصرفي الخاص بالمستخدم إلى حسابه/ حسابها على جهاز الهاتف النقال، أو إلى الحساب المصرفي التابع للمجرمين الإلكترونيين. بعد ذلك، قد يُرسل المجرمون الإلكترونيون هذه الأموال إلى (مَحَافظهم) الرقمية، ومن ثم يقوموا بصرفها في صورة نقود.
حاليًا، يهاجم برنامج تروجان سفبنج فقط عملاء المصارف في روسيا. لكن، عادةً ما يقوم المهاجمون الإلكترونيون بعمل اختبار التشغيل الأول للتقنية، في قطاع خدمات شبكة الإنترنت في روسيا، ثم ينشرونها بعد ذلك في جميع أنحاء العالم، عن طريق مهاجمة المستخدمين في البلدان الأخرى. حتى الآن، وبعد إعادة تشغيل الهاتف، يفحص البرنامج الخبيث إصدارات اللغة الخاصة بنظام التشغيل؛ حيث يبدو أن برنامج تروجان سفبنج يولي اهتمامًا خاصًّا بالبلدان التالية: الولايات المتحدة “Us”، وألمانيا “De”، أوكرانيا “Ua”، وروسيا البيضاء “By”.
بعد عمل الفحص، يَعرِض برنامج سفبنج من عائلة تروجان – الذي يهاجم الرسائل النصية القصيرة، ونظام التشغيل أندرويد – نافذةً تحتوي على رسالةٍ مفادها “جاري التحميل، يرجى الانتظار…….”، بنفس اللغة المثبتة على نظام التشغيل. بعد ذلك، في حال صدر أمرٌ من خادم الأوامر والمراقبة، يقوم البرنامج بفتح أحد المواقع الإلكترونية (الذي عادةً ما يكون موقعًا للتصيُّد الاحتيالي)، بعنوانٍ يقوم أيضًا خادم الأوامر الخاص بالمجرمين الإلكترونيين بتقديمه وتوفيره.
على مدار ثلاثة أشهر من وجود هذا النوع من برامج تروجان، عثرنا على 50 تعديلًا لهذا البرنامج الخبيث؛ وقد تَمَكّن برنامج كاسبرسكي للحماية على الإنترنت الخاص بنظام أندرويد، بحجب ما يزيد عن 900 تثبيت لبرنامج تروجان سفنج. ينتشر هذا النوع من تروجان عن طريق الرسائل النصية القصيرة المزعجة وغير المرغوبة.
هذا النوع من برامج تروجان، يولي حِرصًا شديدًا لحماية وتأمين نفسه:
ولكي يمنع منتجات الحماية والأمن من أن تقوم بحذفه، فإن هذا النوع من برامج تروجان يستخدم أداة أندرويد متقدمة، وهي “مدير الجهاز”.
ولكي يمنع المستخدم من تعطيل أداة “مدير الجهاز”، يستخدم البرنامج أحد الثغرات الأمنية غير المعروفة من قِبَل والموجودة في أندرويد. وبنفس الطريقة، يحاول أن يمنع إعادة ضبط الهاتف إلى إعدادات المصنع.
تجدر الإشارة إلى أنه وبالرغم من جميع تلك الخدع والحيل، فإن برنامج كاسبرسكي للحماية على الإنترنت والخاص بالأندرويد، له القدرة على حذف هذا البرنامج الخبيث. ومن ثم، فإن برنامج الحماية يمثل الطريقة الوحيدة لضمان الحماية ضد هذا اللص الإلكتروني.
النصائح