فيروس حصان طروادة مُثبت في هواتف ذكية مزيفة بنظام Android

هواتف ذكية مقلدة تحاكي علامات تجارية معروفة وتُعرض عبر الإنترنت تأتي مُثبّتًا عليها مسبقًا فيروس حصان طروادة Triada Trojan الخطير.

هواتف ذكية مقلدة تحاكي علامات تجارية معروفة وتُعرض عبر الإنترنت تأتي مُثبّتًا عليها مسبقًا فيروس حصان طروادة Triada Trojan الخطير.

طقوس الدفع المألوفة في السوبر ماركت: بعد مسح كل السلع، تأتي لحظة العرض، الذي يتم تقديمه بابتسامة مليئة بالأمل: “قطعة شوكولاتة للطريق؟ “هذه صفقة رابحة، والخصم فيها سخي إلى حد بعيد”. وإذا كنت محظوظًا، فستحصل على مكافأة لذيذة بسعر رائع. لكن في أغلب الأحيان يسعون لبيعك سلعة راكدة: إما لاقتراب انتهاء صلاحيتها أو لأنها تحتوي على عيب مخفي آخر.

تخيل الآن أنك رفضت قطعة الشوكولاتة تلك، لكنها دُسّت سرًا في حقيبتك على أي حال، أو حتى أسوأ من ذلك، في جيبك، حيث ذابت وأتلفت ملابسك، وأفسدت يومك. حسنًا، وقع أمر مماثل لأولئك الذين اقتنوا هواتف ذكية زائفة تحمل أسماء علامات تجارية معروفة من المتاجر الإلكترونية. لا، لم يحصلوا على قطعة شوكولاتة. لقد انصرفوا بهاتف ذكي جديد تمامًا كان فيروس حصان طروادة Triada مدمجًا في برامجه الثابتة. وهذا أسوأ بكثير من الشوكولاتة الذائبة. قد تختفي أرصدتهم من العملات المشفرة، إلى جانب حساباتهم على Telegram وWhatsApp ووسائل التواصل الاجتماعي، قبل أن يتمكنوا من التفوه بكلمة “يا لها من صفقة!”. ويمكن أن يسرق أحد الأشخاص رسائلهم النصية وأشياء أكثر من ذلك.

Triada؟ ما هو Triada؟

هذا هو الاسم الذي أطلقناه في Kaspersky على فيروس حصان طروادة الذي اكتشفناه ووصفناه بالتفصيل لأول مرة في عام 2016. وسوف يتسلل هذا البرنامج الضار للأجهزة المحمولة إلى كل عملية تعمل على الجهاز تقريبًا، بينما يستقر فقط في ذاكرة الوصول العشوائي (RAM).

كان ظهور Triada بمثابة بداية حقبة جديدة في تطور التهديدات للأجهزة المحمولة التي تستهدف نظام Android. وقبل ظهور Triada، كانت فيروسات حصان طروادة غير ضارة نسبيًا — كانت تعرض بشكل أساسي الإعلانات وتقوم بتنزيل فيروسات حصان طروادة أخرى. وأظهر هذا التهديد الجديد أن الأمور لن تعود إلى سابق عهدها أبدًا.

بمرور الوقت، أصلح مطورو Android الثغرات الأمنية التي استغلتها الإصدارات المبكرة من Triada. وقيدت إصدارات Android الحديثة حتى المستخدمين الذين لديهم امتيازات الجذر من تعديل أقسام النظام. هل أوقف هذا مجرمي الإنترنت؟ ما رأيك؟!..

بالانتقال السريع إلى مارس 2025، اكتشفنا نسخة معدلة من Triada تستغل القيود الجديدة. ويصيب المهاجم البرامج الثابتة حتى قبل بيع الهواتف الذكية. ونظرًا لتثبيت البرامج الضارة مسبقًا في أقسام النظام، فإن هذا يجعل إزالتها أمرًا شبه مستحيل.

ما قدرات هذه النسخة الجديدة؟

يكتشف حل الأمان الخاص بنا لنظام Android الإصدار الجديد من Triada المعروف باسم Backdoor.AndroidOS.Triada.z. ويتم تضمين هذا الإصدار الجديد في البرامج الثابتة للهواتف الذكية المزيفة التي تعمل بنظام Android المتوفرة في الأسواق الإلكترونية. ويمكنه مهاجمة أي تطبيق يعمل على الجهاز. ويمنح هذا فيروس حصان طروادة قدرات غير محدودة تقريبًا. ويستطيع التحكم في الرسائل النصية والمكالمات، وسرقة العملات المشفرة، وتنزيل وتشغيل تطبيقات أخرى، واستبدال الروابط في المتصفحات، وإرسال رسائل خفية في تطبيقات الدردشة بالنيابة عنك، وقرصنة حسابات وسائل التواصل الاجتماعي.

تتسلل نسخة من فيروس Triada إلى كل تطبيق يتم تشغيله على جهاز مصاب. بالإضافة إلى ذلك، يتضمن فيروس حصان طروادة وحدات متخصصة تستهدف التطبيقات الشائعة. وبمجرد أن يقوم المستخدم بتنزيل تطبيق شرعي مثل Telegram أو TikTok، يقوم فيروس حصان طروادة بتضمين نفسه فيه ويبدأ في التسبب في الضرر.

Telegram. يقوم فيروس Triada بتنزيل وحدتين لاختراق Telegram. وتبدأ الأولى نشاطًا ضارًا مرة واحدة يوميًا، من خلال الاتصال بخادم القيادة والسيطرة (C2). وترسل رقم هاتف الضحية إلى المجرمين، إلى جانب بيانات المصادقة الكاملة – بما في ذلك رمز الوصول. أما الوحدة الثانية فتقوم بتصفية جميع الرسائل، والتفاعل مع الروبوت (الذي لم يكن موجودًا في وقت بحثنا)، وحذف الإشعارات المتعلقة بتسجيلات الدخول الجديدة إلى Telegram.

Instagram. يقوم فيروس حصان طروادة بتشغيل مهمة ضارة مرة واحدة يوميًا للبحث عن ملفات تعريف الارتباط الخاصة بالجلسات النشطة ويرسل البيانات إلى المهاجمين. وتساعد هذه الملفات المجرمين على السيطرة الكاملة على الحساب.

المتصفحات. يشكل Triada تهديدًا لعدد من المتصفحات: Chrome وOpera وMozilla وبعض المتصفحات الأخرى. وتتوفر القائمة الكاملة في مقال على Securelist. وتتصل الوحدة بخادم بخادم التحكم والسيطرة (C2) عبر بروتوكول TCP وتعيد توجيه الروابط المشروعة في المتصفحات بشكل عشوائي إلى مواقع إعلانية في الوقت الحالي. ومع ذلك، نظرًا لأن فيروس حصان طروادة Trojan يقوم بتنزيل روابط إعادة التوجيه من خادم التحكم والسيطرة الخاص به، يمكن للمهاجمين توجيه المستخدمين إلى مواقع تصيد احتيالي في أي وقت.

WhatsApp. مرة أخرى، هناك وحدتان. تجمع الوحدة الأولى وترسل البيانات حول الجلسة النشطة إلى خادم التحكم والسيطرة (C2) كل خمس دقائق – مما يمنح المهاجمين الوصول الكامل إلى حساب الضحية. أما الوحدة الثانية فتتعرض وظائف العميل لإرسال واستقبال الرسائل، مما يسمح للبرامج الضارة بإرسال ثم حذف رسائل فورية عشوائية لتغطية آثارها.

LINE. تجمع وحدة Triada المخصصة بيانات التطبيق الداخلية، بما في ذلك بيانات المصادقة (رمز الوصول)، كل 30 ثانية، وترسالها إلى خادم التحكم والسيطرة (C2). وفي هذه الحالة أيضًا، يتولى شخص آخر السيطرة الكاملة على حساب المستخدم.

Skype. على الرغم من أن Skype على وشك التقاعد لا يزال لدى فيروس حصان طروادة Triada وحدة لإصابته. ويستخدم Triada عدة طرق للحصول على رمز المصادقة ثم يرسله إلى خادم التحكم والسيطرة (C2).

TikTok. تستطيع هذه الوحدة جمع الكثير من البيانات عن حساب الضحية من ملفات تعريف الارتباط الموجودة في الدليل الداخلي، ويمكنها أيضًا استخراج البيانات المطلوبة للتواصل مع واجهة برمجة تطبيقات TikTok.

Facebook. تم تزويد فيروس Triada بوحدتين لهذا التطبيق. وتسرق إحداهما بسرقة ملفات تعريف الارتباط الخاصة بالمصادقة، وترسل الأخرى معلومات عن الجهاز المصاب إلى خادم التحكم والسيطرة (C2).

بالطبع، هناك أيضًا وحدات للرسائل النصية القصيرة والمكالمات. وتسمح وحدة الرسائل النصية القصيرة الأولى للبرامج الضارة بتصفية جميع الرسائل الواردة واستخراج الرموز منها، والرد على بعض الرسائل (من المحتمل لإشراك الضحايا في خدمات مدفوعة) وإرسال رسائل نصية قصيرة عشوائية عند توجيهها بواسطة خادم التحكم والسيطرة (C2). أما الوحدة المساعدة الثانية فهي تعطل الحماية المضمنة في نظام Android ضد فيروسات حصان طروادة للرسائل النصية القصيرة التي تطلب إذن المستخدم قبل إرسال الرسائل إلى أرقام مختصرة (الرسائل النصية القصيرة المميزة)، التي يمكن استخدامها لتأكيد الاشتراكات المدفوعة.

تدمج وحدة الاتصال نفسها في تطبيق الهاتف، لكن من المرجح أنها لا تزال قيد التطوير. واكتشفنا أنها تنفذ جزئيًا عملية انتحال أرقام الهواتف – وهو أمر نتوقع اكتماله قريبًا.

هناك وحدة أخرى، هي وكيل عكسي، تحول الهاتف الذكي للضحية إلى خادم وكيل عكسي، مما يتيح للمهاجمين الوصول إلى عناوين IP عشوائية نيابة عن الضحية.

ليس من المستغرب أن يستهدف فيروس Triada أيضًا مالكي العملات المشفرة، مع مفاجأة خاصة تنتظرهم: أداة قص ولصق ضارة. ويراقب فيروس حصان طروادة الحافظة بحثًا عن عناوين محفظة العملات المشفرة، ويستبدلها بعنوان خاص بالمهاجمين. وتحلل أداة سرقة العملات المشفرة نشاط الضحية، وتستبدل عناوين محفظة العملات المشفرة بعناوين احتيالية في أي مكان ممكن، كلما تم إجراء محاولة لسحب عملة مشفرة. ويتداخل أيضًا مع معالجات الضغط على الأزرار داخل التطبيقات ويستبدل الصور برموز QR تم إنشاؤها وترتبط بعناوين محافظ المهاجمين. وقد تمكن المجرمون من سرقة أكثر من 264000 دولار أمريكي من العملات المشفرة المختلفة منذ 13 يونيو 2024 بمساعدة هذه الأدوات.

راجع تقرير Securelist للحصول على قائمة كاملة بميزات فيروس Triada وتحليل فني مفصل.

كيف تتسلل البرامج الضارة إلى الهواتف الذكية؟

في كل حالة إصابة عملنا بها، كان اسم البرنامج الثابت على الجهاز يختلف عن الاسم الرسمي بحرف واحد. على سبيل المثال، كان البرنامج الثابت الرسمي هو TGPMIXM، بينما كانت الهواتف المصابة تحمل اسم TGPMIXN. وقد وجدنا منشورات على لوحات المناقشة ذات الصلة حيث اشتكى المستخدمون من الأجهزة المقلدة التي تم شراؤها من المتاجر الإلكترونية.

من المحتمل أن تكون إحدى مراحل سلسلة التوريد قد تعرضت للاختراق، بينما لم تكن لدى المتاجر أي فكرة عن أنها توزع أجهزة مصابة بفيروس Triada. وفي الوقت نفسه، يكاد يكون من المستحيل عمليًا تحديد الوقت الدقيق الذي تم فيه وضع البرامج الضارة داخل الهواتف الذكية.

كيف تحمي نفسك من فيروس Triada

تم العثور على الإصدار الجديد من فيروس حصان طروادة مثبتًا مسبقًا على الأجهزة المقلدة. ولذلك، فإن أفضل طريقة لتجنب الإصابة بفيروس Triada هي شراء الهواتف الذكية من الوكلاء المعتمدين فقط. وإذا كنت تشك في أن هاتفك قد يكون مصابًا بفيروس Triada (أو فيروس حصان طروادة آخر)، فإليك توصياتنا.

  • امتنع عن استخدام أي من التطبيقات التي يحتمل أن تكون قد تعرضت للاختراق المذكورة أعلاه أو إجراء أي معاملات مالية – بما في ذلك معاملات العملات المشفرة.
  • قم بتثبيت كاسبرسكي لنظام أندرويد على هاتفك الذكي للتحقق مما إذا كان مصابًا بالفعل.
  • في حالة العثور على فيروس Triada على الجهاز، فأعد تثبيت البرنامج الثابت الرسمي على هاتفك الذكي بنفسك، أو اتصل بمركز الخدمة المحلي. توقع حدوث تغييرات مفاجئة في مواصفات هاتفك الذكي: بالإضافة إلى فيروس حصان طروادة المثبت مسبقًا، غالبًا ما تبالغ البرامج الثابتة المزيفة في تقدير ذاكرة الوصول العشوائي (RAM) ومساحة التخزين.
  • إذا تبين أن هاتفك الذكي مصاب بفيروس Triada، فتحقق من جميع تطبيقات المراسلة ووسائل التواصل الاجتماعي التي ربما تكون قد تعرضت للاختراق. وبالنسبة لتطبيقات الدردشة، تأكد من إنهاء أي جلسات لا تزال قيد التشغيل على الأجهزة التي لا تعرفها، وتحقق من إعدادات الخصوصية الخاصة بك وفقًا لدليلنا بعنوان اختراق حسابات WhatsApp وTelegram : كيف تحمي نفسك من عمليات الاحتيال. وإذا كنت تشك في أن حسابات المراسلة الفورية الخاصة بك قد تعرض للاختراق، فاقرأ ماذا تفعل في حالة اختراق حسابك على WhatsApp أو ماذا تفعل في حالة اختراق حسابك على Telegram. وقم بإنهاء جميع جلسات وسائل التواصل الاجتماعي على جميع أجهزتك وقم بتغيير كلمات مرورك. ويمكن أن يساعدك Kaspersky Password Manager في ذلك.
  • نقدم بوابة Privacy Checker دليلاً تفصيليًا خطوة بخطوة عن تكوين الخصوصية في التطبيقات المختلفة وأنظمة التشغيل بشكل عام.

Triada ليس فيروس حصان طروادة الوحيد للأجهزة المحمولة. اتبع هذه الروابط للحصول على قصصنا عن البرامج الضارة الأخرى التي تستهدف نظام Android:

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!