في واحدة من الهجمات الفيروسية الخطيرة التي يتعرض لها أصحاب الهواتف الذكية، تعرّض الآلاف من أصحاب هذه الهواتف في أوروبا نهاية الأسبوع الماضي إلى هجمة شنّها «هاكرز»، عبر برنامج خبيث مزود بأدوات جديدة للتخفي والتمويه، يستهدف سرقة البيانات المصرفية، وفي مقدمتها بيانات البطاقات الائتمانية أثناء الدفع عبر تطبيقات مثل «غوغل بلاي» و«واتس أب»، فضلاً عن تطبيق «أوبر» الخاص بخدمة طلب سيارات الأجرة حول العالم.

ويظهر البرنامج الخبيث أثناء عملية الدفع، متخفياً بقناع يجعله يظهر وكأنه «أوبر» أو «غوغل بلاي» أو «واتس أب»، فتذهب البيانات المصرفية الحساسة إلى قراصنة البرنامج ليستخدموها بعد ذلك في السرقة. وشمل نطاق هذه الهجمة أربع دول أوروبية هي الدنمارك، وإيطاليا، وألمانيا، وروسيا، في ما تشير التوقعات إلى أن هناك ثلاث دول أخرى يتوقع أن تتعرض للهجوم، هي لاتفيا ونيوزيلندا ودول في الخليج العربي، بعدما رصدت شركة أمن المعلومات التي تابعت هذا البرنامج وجود خوادم متورطة في هذه الهجمات في تلك الدول.

آلية العمل

نشرت شركة «فاير آي» المتخصصة في أمن المعلومات WWW.FIREEYE.COM على موقعها، الخميس الماضي، تقريراً مطولاً وبالتفاصيل التقنية الكاملة لهذه الهجمة، ومواصفات البرنامج الخبيث المستخدم بها، وكيفية حدوثها.

وأفادت الشركة في تقريرها بأن المهاجمين يعدّون في البداية الـ«أكواد» الخبيثة، ثم يسيطرون على بعض أجهزة الكمبيوتر الخادمة على الانترنت التي تستخدم بروتوكول الاتصال المعروف باسم «سي 2»، وتعتبر مكشوفة أمنياً، كما تعاني نقاط ضعف وثغرات، ثم يجبرونها على أن تتهيأ للعمل كـ«حاضنات» أو مكان استضافة للبرنامج الخبيث. وبعد ذلك يضعون البرنامج الخبيث في موقع الاستضافة، ثم يرسلون رسائل نصية قصيرة للضحايا وبها رابط نشط، وبمجرد الضغط عليه، فإنه يقود إلى المكان الخاص بالبرنامج الخبيث على الحاسبات الخادمة المسيطر عليها، ليتم تحميل نسخة من البرنامج الخبيث على الهاتف الذكي دون معرفة صاحبه.

قناع مزيف

بعد أن يصل البرنامج الخبيث إلى الهاتف الذكي للضحية، يطلق البرنامج عملية لمراقبة التطبيقات الموجودة على الهاتف، وهي التي تعمل في منطقة يطلق عليها «المقدمة الأمامية للتشغيل» داخل نظام التشغيل.

وحينما يبدأ المستخدم في تشغيل تطبيق مثل «بينجين» المتخصص في المعاملات المصرفية، ويصل التطبيق إلى منطقة «المقدمة الأمامية للتشغيل» التي صمم البرنامج لمراقبتها، يبدأ البرنامج عملية اصطياد متخفية، فيظهر بقناع مطابق تماماً للمظهر الذي يظهر به التطبيق المصرفي.

يواصل المستخدم عملية تسجيل بياناته المصرفية اللازمة للدفع الإلكتروني، مفترضاً أنه يستخدم التطبيق المصرفي الأصلي الذي اعتاد عليه، في حين أنه في هذه اللحظة، فإنه يدخل بياناته المصرفية الحساسة داخل القناع المزيف للبرنامج الخبيث، والذي يلتقطها ويرسلها فوراً إلى الحاسبات الخادمة التي يسيطر عليها ويديرها المهاجمون.

تطوير البرنامج

استخدم المهاجمون هذا الأسلوب خلال أبريل الماضي في روسيا، لكن هجمات مايو ويونيو الماضيين التي حدثت في الدنمارك وألمانيا وايطاليا شهدت تغيراً واضحاً، إذ طور المهاجمون نسخاً جديدة تفعل الشيء نفسه ليس مع التطبيق المصرفي، بل مع تطبيقات «واتس أب» و«غوغل بلاي» و«أوبر»، فما أن يعمل أحد هذه التطبيقات في منطقة «المقدمة الأمامية للتشغيل» بالهاتف، والتي هي محل مراقبة من البرنامج الخبيث، فإن البرنامج الخبيث للمستخدم يظهر «متخفياً» في واجهة تتطابق مع واجهة التطبيق الذي يستخدمه المستخدم، ويطلب منه البيانات المصرفية، وذلك حين ينفذ عملية دفع لـ«أوبر»، أو الشراء من «غوغل بلاي» أو عمل أي من المهام التي تتطلب الدفع على «واتس أب». وحينما يدخل البيانات المالية في هذه الشاشة المخادعة، فإنها تذهب الى المهاجمين، وليس إلى تطبيقات «غوغل بلاي» أو «أوبر».

أساليب جديدة

أضاف المهاجمون وظائف وأدوات جديدة إلى البرنامج الخبيث، جعلته يتفادى ويتخفى عن رقابة وفحص أنظمة التأمين التي يضعها مشغلو خدمات الرسائل النصية القصيرة، خصوصاً في الرسائل والحملات التي يشنونها على الهواتف الذكية العاملة بالإصدار 4.3 من نظام تشغيل «أندرويد»، إذ بدأوا يستخدمون أسلوب التسجيل الذاتي للنطاقات، وأسلوب المواقع المعقود معها تسوية، أو التي تمت السيطرة عليها، لتصبح وكأنها عقدت صفقة مع البرنامج الخبيث، فيجعلها تفعل ما يريد، فضلاً عن أسلوب الاعتماد على الروابط النشطة قصيرة الحروف التي يسهل تضمينها في الرسائل النصية القصيرة التي لا تستوعب سوى 140 حرفاً. واستخدموا في ذلك العديد من الخدمات واسعة الانتشار في هذا الصدد، مثل خدمة «بتلي» وغيرها، وهو أمر يعقد من اكتشاف البرنامج، ولم يكن معهوداً في البرمجيات الخبيثة المماثلة السابق اكتشافها في روسيا ومناطق أخرى. كما طور المهاجمون من أسلوب التخفي، فأصبحت النسخ الجديدة من البرنامج صعبة الفحص والاكتشاف. وقالت الشركة إن ست أدوات فقط من بين كل 54 أداة لاكتشاف الفيروسات جرى اختبارها، هي فقط التي استطاعت ملاحظة أن هناك خطراً في الكود الذي جرى به برمجة هذا البرنامج الخبيث.

نشر البرنامج

ومن أجل نشر البرنامج على أوسع نطاق، نفذ المهاجمون حملات لبث رسائل نصية قصيرة معها رابط للإيقاع بضحاياهم حينما يضغطون على هذا الرابط. وجاء في بعض الرسائل: «نحن لا نستطيع إرسال طلبك، من فضلك راجع معلومات الشحن الخاصة بك هنا». ومنذ فبراير الماضي، لاحظت شركة «فاير آي» أن البرنامج الخبيث انتشر خلال خمس حملات مختلفة من الرسائل النصية، وفي واحدة من الحملات استطاع المهاجمون الحصول على 139 ألف ضغطة على الرابط المزيف المرسل الذي قاد الضحايا إلى المكان الذي كمن فيه البرنامج الخبيث.