اكتشفت شركة كاسبركسي تطبيقات في متاجر Apple وGoogle الرسمية تسرق بيانات محفظة العملات المشفرة من خلال تحليل الصور.
قد يحتوي معرض هاتفك الذكي على صور ولقطات شاشة لمعلومات مهمة تحتفظ بها هناك لأسباب تتعلق بالسلامة أو الراحة، مثل المستندات أو الاتفاقيات البنكية أو العبارات الأولية لاستعادة محافظ العملات المشفرة. ويمكن سرقة كل هذه البيانات بواسطة تطبيق ضار مثل برنامج سرقة البيانات SparkCat الذي اكتشفناه. وتم تكوين هذا البرنامج الضار حاليًا لسرقة بيانات محفظة العملات المشفرة، لكن من السهل إعادة استخدامه لسرقة أي معلومات قيمة أخرى.
أسوأ ما في الأمر هو أن هذا البرنامج الضار قد وجد طريقه إلى متاجر التطبيقات الرسمية، مع ما يقرب من 250,000 عملية تنزيل للتطبيقات المصابة من Google Play وحده. وعلى الرغم من أنه تم العثور على تطبيقات ضارة في Google Play من قبل، إلا أن هذه هي المرة الأولى التي يتم فيها اكتشاف فيروس حصان طروادة لبرنامج سرقة بيانات في App Store. كيف يعمل هذا التهديد وماذا يمكنك أن تفعل لحماية نفسك؟
الإضافات الضارة للتطبيقات المشروعة
تنقسم التطبيقات التي تحتوي على مكونات SparkCat الضارة إلى فئتين. وبعضها، مثل العديد من تطبيقات المراسلة المماثلة التي تدعي توفير وظائف الذكاء الاصطناعي، كلها من المطور نفسه، تم تصميمها بوضوح في شكل طُعم. وهناك أيضًا بعض التطبيقات المشروعة: مثل خدمات توصيل الطعام وبرامج قراءة الأخبار وأدوات محفظة العملات المشفرة. ولا نعرف حتى الآن كيف وصلت وظيفة فيروس حصان طروادة إلى هذه التطبيقات. ربما كان ذلك نتيجة لهجوم سلسلة التوريد، حيث تم إصابة أحد مكونات طرف ثالث المستخدمة في التطبيق. أو ربما قام المطورون بتضمين فيروس حصان طروادة عمدًا في تطبيقاتهم.
.png)
يحلل برنامج سرقة البيانات الصور الموجودة في معرض الهاتف الذكي، ولهذا الغرض، تطلب جميع التطبيقات المصابة الإذن بالوصول إليها. وفي كثير من الحالات، يبدو هذا الطلب مشروعًا تمامًا – على سبيل المثال، طلبَ تطبيق توصيل الطعام ComeCome الوصول إلى دردشة دعم العملاء مباشرةً عند فتح هذه الدردشة، وهو ما بدا طبيعيًا تمامًا. وتطلب تطبيقات أخرى الوصول إلى المعرض عند تشغيل وظائفها الأساسية، وهو ما يبدو غير ضارٍ على أي حال. وفي نهاية المطاف، تريدُ أن تكون قادرًا على مشاركة الصور في برنامج مراسلة، أليس كذلك؟
مع ذلك، بمجرد أن يمنح المستخدم حق الوصول إلى صور محددة أو المعرض بأكمله، يبدأ البرنامج الضار في البحث في كل الصور التي يمكنه الوصول إليها، بحثًا عن أي شيء ذي قيمة.
السرقة باستخدام الذكاء الاصطناعي
للعثور على بيانات محفظة العملات المشفرة بين صور القطط وغروب الشمس، يحتوي فيروس حصان طروادة على وحدة التعرف الضوئي على الحروف (OCR) المدمجة المستندة إلى Google ML Kit – وهي مكتبة عالمية للتعلم الآلي.
يقوم فيروس حصان طروادة بتحميل جميع الصور التي تحتوي على نص ذي قيمة محتملة إلى خوادم المهاجمين، بالإضافة إلى معلومات مفصلة عن النص الذي تم التعرف عليه والجهاز الذي تمت سرقة الصورة منه.
حجم وضحايا الهجوم
حددنا 10 تطبيقات ضارة في Google Play، و11 منها في App Store. وفي وقت النشر، تمت إزالة جميع التطبيقات الضارة من المتاجر. وتجاوز العدد الإجمالي للتنزيلات من متجر Google Play وحده 242 ألفًا في وقت التحليل، وتشير بيانات القياس عن بعد الخاصة بنا إلى أن البرامج الضارة نفسها كانت متاحة من مواقع أخرى ومتاجر تطبيقات غير رسمية أيضًا.
اعتمادًا على إعدادات لغة الجهاز، يقوم SparkCat بتنزيل النماذج المدربة لاكتشاف النص ذي الصلة في الصور، سواء كان لاتينيًا أو كوريًا أو صينيًا أو يابانيًا. وبعد التعرف على النص الموجود في الصورة، يقوم فيروس حصان طروادة بفحصه وفقًا لمجموعة من القواعد المحملة من خادم الأوامر والتحكم الخاص به. وبالإضافة إلى الكلمات الرئيسية من القائمة (على سبيل المثال، “Mnemonic” (كلمات الاستذكار))، يمكن تشغيل عامل التصفية بواسطة أنماط معينة مثل مجموعات الحروف التي لا معنى لها في رموز النسخ الاحتياطي أو تسلسلات كلمات معينة في عبارات الاسترداد.
كيف تحمي نفسك من فيروسات حصان طروادة التي تستخدم التعرف الضوئي على الحروف
للأسف، فإن النصيحة القديمة المتمثلة في “تنزيل التطبيقات ذات التصنيف العالي فقط من متاجر التطبيقات الرسمية” لم تعد حلاً سحريًا بعد الآن – حتى App Store أصبح الآن مخترقًا من قبل برنامج سارق بيانات حقيقي، وقد حدثت حوادث مماثلة مرارًا وتكرارًا في متجر Google Play. ولذلك، نحتاج إلى تعزيز المعايير هنا: قم بتنزيل التطبيقات ذات التقييمات العالية فقط التي تم تنزيلها آلاف المرات، أو أفضل من ذلك، ملايين المرات، والتي تم نشرها منذ عدة أشهر على الأقل. بالإضافة إلى ذلك، تحقق من روابط التطبيقات في المصادر الرسمية (مثل موقع ويب المطورين) للتأكد من أنها ليست مزيفة، واقرأ المراجعات – خاصة السلبية منها. وبالطبع، تأكد من تثبيت نظام أمان شامل على جميع الهواتف الذكية وأجهزة الكمبيوتر الخاصة بك.
أخيرًا، إذا قمت بالفعل بتثبيت تطبيق مصاب (تتوفر القائمة الخاصة به في نهاية منشور Securelist)، فاحذفه ولا تستخدمه حتى يقوم المطور بإصدار إصدار ثابت. وفي الوقت نفسه، راجع معرض الصور الخاص بك بعناية لتقييم البيانات التي ربما حصل عليها مجرمو الإنترنت. وقم بتغيير أي كلمات مرور واحظر أي بطاقات محفوظة في معرض الصور. على الرغم من أن إصدار SparkCat الذي اكتشفناه يبحث عن عبارات الاسترداد على وجه التحديد، فمن الممكن أن يتم إعادة تكوين فيروس حصان طروادة لسرقة معلومات أخرى. أما بالنسبة لعبارات الاسترداد الخاصة بمحفظة العملات المشفرة، فبمجرد إنشائها، لا يمكن تغييرها. وأنشئ محفظة عملات مشفرة جديدة، وانقل جميع أموالك من المحفظة المخترقة، ثم التخلي عنها تمامًا.
{ إِنَّ اللَّهَ وَمَلَائِكَتَهُ يُصلُّونَ عَلَى النَّبِيِّ يَا أَيُّهَا الَّذينَ آمَنُوا صَلُّوا عَلَيْهِ وَسَلِّمُوا تسلِيماً } ﷺ
{ إِنَّ اللَّهَ وَمَلَائِكَتَهُ يُصلُّونَ عَلَى النَّبِيِّ يَا أَيُّهَا الَّذينَ آمَنُوا صَلُّوا عَلَيْهِ وَسَلِّمُوا تسلِيماً } ﷺ
0تعليقات