محمد شوقي
وجد باحثو كاسبرسكي عند تتبعهم حملة تُشنّ باستخدام البرمجية المصرفية الخبيثة Guildma على الأجهزة العاملة بالنظام "ويندوز"، عناوين ويب توزع ملفًا خبيثًا بتهيئة ZIP بجانب ملف خبيث آخر يبدو أنه أداة تنزيل لتثبيت تروجان مصرفي جديد يُدعى Ghimob. ويرسّخ Ghimob نفسه عند التسلل إلى نمط قدرات الوصول في الهاتف الذكي المستهدف، حيث يستطيع تعطيل إلغاء التثبيت اليدوي، والتقاط البيانات، والتلاعب بمحتوى الشاشة، وتمكين الجهات التي تقف وراءه من التحكّم الكامل عن بُعد بالجهاز. ووفقًا للخبراء، يركّز مطورو هذا الطراز النموذجي من تروجان الوصول عن بُعد على مستخدمي الهواتف الذكية في البرازيل، لكن لديهم خططًا طموحة للتوسّع في جميع أنحاء العالم، مع تواصل نشاط الحملة.
ويُعدّ Guildma أحد التهديدات الرقمية التابعة لعصابة Tétrade سيئة السمعة، المعروفة بأنشطتها التخريبية القابلة للتوسع في كل من أمريكا اللاتينية وأجزاء أخرى من العالم، والتي تعمل بنشاط على تطوير تقنيات جديدة، وتطوير برمجيات خبيثة لاستهداف مزيد من الضحايا.
ويجذب التروجان Ghimob الجديد ضحاياه إلى تثبيت الملف الخبيث من خلال رسالة بريد إلكتروني تشير إلى أن مستلمها مطالب بسداد بعض الديون، وتتضمن رابطًا يقودهم إلى ما يُزعم أنه معلومات وافية عن تلك الديون. وترسل البرمجية الخبيثة، بمجرد تثبيت التروجان، رسالة إلى خادم القيادة والسيطرة الذي تتبع له لتؤكد نجاح إصابتها لجهاز الضحية المحمول المستهدف. وتتضمن الرسالة طراز الهاتف، وإفادة حول تفعيل وضعية تأمين الشاشة، وقائمة بجميع التطبيقات المثبتة التي يمكن أن تستهدفها البرمجية الخبيثة. ويمكن للتروجان Ghimob التجسس على 153 تطبيقًا محمولًا، لا سيما تطبيقات البنوك وشركات التقنيات المالية والعملات الرقمية والصرافة.
وتجعل وظائف Ghimob من هذا التروجان جاسوسًا قابعًا في جيب الضحية؛ إذ يمكن للمطورين الوصول عن بُعد إلى الجهاز المصاب وإكمال عمليات الاحتيال عبره مع تجنّب تحديد هوية الجهاز وتجاوز تدابير الأمن التي تنفذها المنشآت المالية والأنظمة السلوكية الخاصة بمكافحة الاحتيال، كما يستطيع Ghimob تسجيل نمط قفل شاشة الجهاز ليتمكّن من فتحها. فعندما يكون المحتالون مستعدين لإجراء معاملة احتيالية، يُدرجون شاشة تمويهية سوداء أو يفتحون بعض مواقع الويب بنمط الشاشة الكاملة. وبينما ينظر المستخدم إلى تلك الشاشة، ينفذ المحتالون المعاملة الاحتيالية في الخلفية بعد فتح التطبيق المالي المرغوب وتسجيل الدخول إليه على الجهاز.
وتُظهر إحصائيات كاسبرسكي وجود أهداف لتروجان Ghimob في كل من باراغواي وبيرو والبرتغال وألمانيا وأنغولا وموزمبيق، بالإضافة إلى البرازيل.
ولطالما تملّكت الرغبة مجرمي الإنترنت في أمريكا اللاتينية بالحصول على تروجان مصرفي ذي انتشار عالمي مخصص للهواتف الذكية، بحسب فابيو أسوليني الخبير الأمني لدى كاسبرسكي، الذي أشار إلى وجود تروجانات تركز بشدة على السوق البرازيلية، مثل Basbanke وBRata. وأكّد أن التروجان Ghimob "أول تروجان برازيلي يستهدف الخدمات المصرفية على الهاتف الذكية جاهز للتوسع عالميًا". وقال: "قد تكون هذه الحملة الجديدة مرتبطة بجهة التهديد Guildma، المسؤولة عن أحد أبرز التروجانات المصرفية البرازيلية، وذلك لأسباب عديدة أهمها الاشتراك بالبنية التحتية نفسها. وفي كل الأحوال، نوصي بأن تراقب المؤسسات المالية هذه التهديدات عن كثب، مع تحسين إجراءات المصادقة على الدخول، وتعزيز تقنيات مكافحة الاحتيال وبيانات معلومات التهديدات، ومحاولة إدراك جميع مخاطر التي تنطوي عليها عائلة تروجانات الوصول عن بعد المحمولة الجديدة هذه والتخفيف من حدّتها".
هذا، وبوسع حلول كاسبرسكي الأمنية الكشف عن العائلة الجديدة بالاسم Trojan-Banker.AndroidOS.Ghimob.
وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التالية للبقاء في مأمن من تروجانات الوصول عن بُعد، والتهديدات المصرفية:
• تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبر منصة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية.
• توعية العملاء بالحيل المحتملة التي قد يستخدمها المخربون، وذلك عبر مراسلات منتظمة تتضمن معلومات توعوية بطرق التعرّف على الاحتيال والتصرّف إزاءها.
• اللجوء إلى أحد حلول مكافحة الاحتيال، مثل Kaspersky Fraud Prevention، لحماية تطبيقات الهاتف المحمول من وصول المخربين عن بُعد لإجراء معاملات احتيالية. وبوسع الحل اكتشاف وجود التروجان على الجهاز وتحديد وجود أي علامات على التحكم عن بعد بالتطبيقات الرسمية.
يمكن الاطلاع على التقرير الكامل عن هذه التهديدات، على الصفحة Secure