برنامج سرقة البيانات من نوع فيروس حصان طروادة SparkCat يتسلل إلى App Store وGoogle Play ويسرق البيانات من الصور

اكتشفنا تطبيقات في متاجر Apple وGoogle الرسمية تسرق بيانات محفظة العملات المشفرة من خلال تحليل الصور.

قد يحتوي معرض هاتفك الذكي على صور ولقطات شاشة لمعلومات مهمة تحتفظ بها هناك لأسباب تتعلق بالسلامة أو الراحة، مثل المستندات أو الاتفاقيات البنكية أو العبارات الأولية لاستعادة محافظ العملات المشفرة. ويمكن سرقة كل هذه البيانات بواسطة تطبيق ضار مثل برنامج سرقة البيانات SparkCat الذي اكتشفناه. وتم تكوين هذا البرنامج الضار حاليًا لسرقة بيانات محفظة العملات المشفرة، لكن من السهل إعادة استخدامه لسرقة أي معلومات قيمة أخرى.

أسوأ ما في الأمر هو أن هذا البرنامج الضار قد وجد طريقه إلى متاجر التطبيقات الرسمية، مع ما يقرب من 250,000 عملية تنزيل للتطبيقات المصابة من Google Play وحده. وعلى الرغم من أنه تم العثور على تطبيقات ضارة في Google Play من قبل، إلا أن هذه هي المرة الأولى التي يتم فيها اكتشاف فيروس حصان طروادة لبرنامج سرقة بيانات في App Store. كيف يعمل هذا التهديد وماذا يمكنك أن تفعل لحماية نفسك؟

الإضافات الضارة للتطبيقات المشروعة

تنقسم التطبيقات التي تحتوي على مكونات SparkCat الضارة إلى فئتين. وبعضها، مثل العديد من تطبيقات المراسلة المماثلة التي تدعي توفير وظائف الذكاء الاصطناعي، كلها من المطور نفسه، تم تصميمها بوضوح في شكل طُعم. وهناك أيضًا بعض التطبيقات المشروعة: مثل خدمات توصيل الطعام وبرامج قراءة الأخبار وأدوات محفظة العملات المشفرة. ولا نعرف حتى الآن كيف وصلت وظيفة فيروس حصان طروادة إلى هذه التطبيقات. ربما كان ذلك نتيجة لهجوم سلسلة التوريد، حيث تم إصابة أحد مكونات طرف ثالث المستخدمة في التطبيق. أو ربما قام المطورون بتضمين فيروس حصان طروادة عمدًا في تطبيقاتهم.

أصاب SparkCat تطبيق ComeCome في كل من Google Play وApp Store

كان التطبيق الأول الذي اكتشفنا فيه SparkCat هو خدمة توصيل الطعام المسماة ComeCome – المتوفر في الإمارات العربية المتحدة وإندونيسيا. وتم العثور على التطبيق المصاب على كل من Google Play وApp Store.

يحلل برنامج سرقة البيانات الصور الموجودة في معرض الهاتف الذكي، ولهذا الغرض، تطلب جميع التطبيقات المصابة الإذن بالوصول إليها. وفي كثير من الحالات، يبدو هذا الطلب مشروعًا تمامًا – على سبيل المثال، طلبَ تطبيق توصيل الطعام ComeCome الوصول إلى دردشة دعم العملاء مباشرةً عند فتح هذه الدردشة، وهو ما بدا طبيعيًا تمامًا. وتطلب تطبيقات أخرى الوصول إلى المعرض عند تشغيل وظائفها الأساسية، وهو ما يبدو غير ضارٍ على أي حال. وفي نهاية المطاف، تريدُ أن تكون قادرًا على مشاركة الصور في برنامج مراسلة، أليس كذلك؟

مع ذلك، بمجرد أن يمنح المستخدم حق الوصول إلى صور محددة أو المعرض بأكمله، يبدأ البرنامج الضار في البحث في كل الصور التي يمكنه الوصول إليها، بحثًا عن أي شيء ذي قيمة.

السرقة باستخدام الذكاء الاصطناعي

للعثور على بيانات محفظة العملات المشفرة بين صور القطط وغروب الشمس، يحتوي فيروس حصان طروادة على وحدة التعرف الضوئي على الحروف (OCR) المدمجة المستندة إلى Google ML Kit – وهي مكتبة عالمية للتعلم الآلي.

اعتمادًا على إعدادات لغة الجهاز، يقوم SparkCat بتنزيل النماذج المدربة لاكتشاف النص ذي الصلة في الصور، سواء كان لاتينيًا أو كوريًا أو صينيًا أو يابانيًا. وبعد التعرف على النص الموجود في الصورة، يقوم فيروس حصان طروادة بفحصه وفقًا لمجموعة من القواعد المحملة من خادم الأوامر والتحكم الخاص به. وبالإضافة إلى الكلمات الرئيسية من القائمة (على سبيل المثال، “Mnemonic” (كلمات الاستذكار))، يمكن تشغيل عامل التصفية بواسطة أنماط معينة مثل مجموعات الحروف التي لا معنى لها في رموز النسخ الاحتياطي أو تسلسلات كلمات معينة في عبارات الاسترداد.

الكلمات الرئيسية التي يبحث عنها SparkCat

أثناء تحليلنا، طلبنا قائمة بالكلمات الرئيسية المستخدمة في البحث باستخدام التعرف الضوئي على الحروف من خوادم C2 الخاصة لفيروس حصان طروادة. ومن الواضح أن مجرمي الإنترنت مهتمون بالعبارات المستخدمة لاستعادة الوصول إلى محافظ العملات المشفرة – المعروفة باسم كلمات الاستذكار

يقوم فيروس حصان طروادة بتحميل جميع الصور التي تحتوي على نص ذي قيمة محتملة إلى خوادم المهاجمين، بالإضافة إلى معلومات مفصلة عن النص الذي تم التعرف عليه والجهاز الذي تمت سرقة الصورة منه.

حجم وضحايا الهجوم

حددنا 10 تطبيقات ضارة في Google Play، و11 منها في App Store. وفي وقت النشر، تمت إزالة جميع التطبيقات الضارة من المتاجر. وتجاوز العدد الإجمالي للتنزيلات من متجر Google Play وحده 242 ألفًا في وقت التحليل، وتشير بيانات القياس عن بعد الخاصة بنا إلى أن البرامج الضارة نفسها كانت متاحة من مواقع أخرى ومتاجر تطبيقات غير رسمية أيضًا.

التطبيقات المصابة بالبرنامج الضار SparkCat في Google Play وApp Store

من بين التطبيقات المصابة خدمات التوصيل الشهيرة وبرامج المراسلة المعتمدة على الذكاء الاصطناعي في كل من Google Play وApp Store

بالنظر إلى قواميس SparkCat، يبدو أنها “مُدرَّبة” على سرقة بيانات المستخدمين في العديد من الدول الأوروبية والآسيوية، وتشير الأدلة إلى أن الهجمات مستمرة منذ مارس 2024 على الأقل. من المحتمل أن يكون مؤلفو هذا البرنامج الضار يتحدثون الصينية بطلاقة – يمكن العثور على المزيد من التفاصيل عن هذا الموضوع، بالإضافة إلى الجوانب التقنية لبرنامج SparkCat، في التقرير الكامل على Securelist.

كيف تحمي نفسك من فيروسات حصان طروادة التي تستخدم التعرف الضوئي على الحروف

للأسف، فإن النصيحة القديمة المتمثلة في “تنزيل التطبيقات ذات التصنيف العالي فقط من متاجر التطبيقات الرسمية” لم تعد حلاً سحريًا بعد الآن – حتى App Store أصبح الآن مخترقًا من قبل برنامج سارق بيانات حقيقي، وقد حدثت حوادث مماثلة مرارًا وتكرارًا في متجر Google Play. ولذلك، نحتاج إلى تعزيز المعايير هنا: قم بتنزيل التطبيقات ذات التقييمات العالية فقط التي تم تنزيلها آلاف المرات، أو أفضل من ذلك، ملايين المرات، والتي تم نشرها منذ عدة أشهر على الأقل. بالإضافة إلى ذلك، تحقق من روابط التطبيقات في المصادر الرسمية (مثل موقع ويب المطورين) للتأكد من أنها ليست مزيفة، واقرأ المراجعات – خاصة السلبية منها. وبالطبع، تأكد من تثبيت نظام أمان شامل على جميع الهواتف الذكية وأجهزة الكمبيوتر الخاصة بك.

مراجعة سلبية لتطبيق ComeCome في App Store

قد يؤدي التحقق من المراجعات السلبية لتطبيق ComeCome في App Store إلى إحجام المستخدمين عن تنزيله

يجب عليك أيضًا أن تكون حذرًا للغاية بشأن منح الأذونات للتطبيقات الجديدة. وفي السابق، كان هذا الأمر يتعلق في المقام الأول بإعدادات “إمكانية الوصول”، لكننا نرى الآن أن مجرد منح حق الوصول إلى المعرض قد يؤدي إلى سرقة البيانات الشخصية. وإذا لم تكن متأكدًا تمامًا من شرعية التطبيق (على سبيل المثال، ليس تطبيق مراسلة رسميًا، بل نسخة معدلة منه)، فلا تمنحه حق الوصول الكامل إلى جميع صورك ومقاطع الفيديو الخاصة بك. ولا تمنح حق الوصول إلى صور محددة إلا عند الضرورة.

من الآمن للغاية تخزين المستندات أو كلمات المرور أو البيانات البنكية أو صور عبارات الاسترداد في معرض هاتفك الذكي – بالإضافة إلى برامج سرقة البيانات مثل SparkCat، هناك دائمًا خطر أن ينظر شخص ما إلى الصور، أو أن تقوم بتحميلها عن طريق الخطأ إلى برنامج مراسلة أو خدمة مشاركة ملفات. وينبغي تخزين هذه المعلومات في تطبيق مخصص. على سبيل المثال، يتيح لك Kaspersky Password Manager تخزين ومزامنة كلمات المرور ورموز المصادقة ثنائية العوامل بشكل آمن، بالإضافة إلى تفاصيل البطاقة البنكية والمستندات التي تم فحصها عبر جميع أجهزتك – كل ذلك في شكل مشفر. وبالمناسبة، يأتي هذا التطبيق مع اشتراكي Kaspersky Plus و Kaspersky Premium.

أخيرًا، إذا قمت بالفعل بتثبيت تطبيق مصاب (تتوفر القائمة الخاصة به في نهاية منشور Securelist)، فاحذفه ولا تستخدمه حتى يقوم المطور بإصدار إصدار ثابت. وفي الوقت نفسه، راجع معرض الصور الخاص بك بعناية لتقييم البيانات التي ربما حصل عليها مجرمو الإنترنت. وقم بتغيير أي كلمات مرور واحظر أي بطاقات محفوظة في معرض الصور. على الرغم من أن إصدار SparkCat الذي اكتشفناه يبحث عن عبارات الاسترداد على وجه التحديد، فمن الممكن أن يتم إعادة تكوين فيروس حصان طروادة لسرقة معلومات أخرى. أما بالنسبة لعبارات الاسترداد الخاصة بمحفظة العملات المشفرة، فبمجرد إنشائها، لا يمكن تغييرها. وأنشئ محفظة عملات مشفرة جديدة، وانقل جميع أموالك من المحفظة المخترقة، ثم التخلي عنها تمامًا.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية! 

اشترك حتى يصلك جديدنا على بريدك الإلكتروني
  • جميع الدول الاخرى