تخطى إلى المحتوى الرئيسي
شارك

برمجية Rokarolla الخبيثة تهدد أجهزة أندرويد: سرقة الأرقام السرية وأموال العملات المشفرة

فريق جلتشمنذ ساعة1 مشاهدة5 دقائق
شارك
برمجية Rokarolla الخبيثة تهدد أجهزة أندرويد: سرقة الأرقام السرية وأموال العملات المشفرة

اكتشفت Zimperium برمجية Rokarolla الخبيثة التي تستهدف 217 تطبيقاً مالياً وعملات مشفرة لسرقة بيانات الدخول. يشكل هذا التهديد خطراً جسيماً على أمن المستخدمين ومعاملاتهم الرقمية.

مقدمة تحليلية

كشفت تقارير أمنية حديثة من باحثي Zimperium's zLabs عن تهديد سيبراني جديد وخطير يُعرف باسم Rokarolla، وهو حصان طروادة مصرفي يستهدف نظام أندرويد. تبرز هذه البرمجية الخبيثة كواحدة من أكثر أدوات الهجوم تطوراً حتى الآن، حيث تستهدف ما يقرب من 217 تطبيقاً مالياً، بما في ذلك تطبيقات الخدمات المصرفية التقليدية ومحافظ العملات المشفرة، وتمتلك ترسانة هائلة تضم 137 أمراً للتحكم عن بُعد. تمنح هذه القدرات المهاجمين سيطرة شبه كاملة على الجهاز المصاب، متجاوزة الدفاعات الأمنية التقليدية. يمكن لـRokarolla سرقة الأرقام السرية (PINs) الخاصة بشاشة القفل، وقراءة وإرسال رسائل SMS، وإعادة كتابة محتوى الحافظة لإعادة توجيه مدفوعات العملات المشفرة، وحتى تعطيل Google Play Protect، مما يترك المستخدمين عرضة للهجمات دون سابق إنذار. يعد هذا التطور مقلقاً للغاية، خاصة في ظل الاعتماد المتزايد على الأجهزة المحمولة لإدارة الأموال والأصول الرقمية.

التحليل التقني

تنتشر برمجية Rokarolla الخبيثة في البداية عبر مواقع ويب ضارة تتنكر في هيئة تطبيقات شائعة ومعروفة مثل TikTok و Chrome. يبدأ الهجوم بتثبيت تطبيق “dropper” يتظاهر بأنه Google Play Protect، مستغلاً هذا التنكر لتثبيت الحمولة الأساسية للبرمجية والحصول على أذونات الوصول الخاصة بـAccessibility. بمجرد تشغيل البرمجية الخبيثة، تستخدم أحد أوامرها العديدة لتعطيل وظائف Google Play Protect بشكل فعال، مزيلة بذلك طبقة دفاع حيوية. تعتمد آلية السرقة الرئيسية لـRokarolla على استخدام التراكبات (overlays). تقوم البرمجية بتحميل قائمة بالتطبيقات المستهدفة من خوادم التحكم والقيادة (C2)، ولكل تطبيق نشط مستهدف، تقوم بتنزيل صفحة تسجيل دخول HTML مزيفة وتخزينها في قاعدة بيانات محلية. عندما يفتح الضحية التطبيق المصرفي أو تطبيق محفظة العملات المشفرة الحقيقي، تقوم البرمجية بعرض الصفحة المزيفة فوق التطبيق الأصلي، مما يسمح لها بالتقاط جميع البيانات المدخلة، بما في ذلك تفاصيل البطاقة المصرفية. وقد أظهرت التقارير وجود صفحات مزيفة تحاكي تطبيقات مثل 'imagin'. كما تستخدم تراكباً منفصلاً لمحاكاة شاشة قفل أندرويد لسرقة الأرقام السرية أو أنماط القفل، مما يمكّن المهاجمين من التحكم بالجهاز حتى وهو مقفل. تتضمن قدرات Rokarolla التقنية ما يلي:
  • سرقة بيانات الاعتماد: تستخدم تراكبات HTML لسرقة أسماء المستخدمين، كلمات المرور، وتفاصيل البطاقات من 217 تطبيقاً مالياً ومشفرة.
  • التحكم بالرسائل النصية: تقرأ جميع رسائل SMS على الجهاز ويمكنها إرسال رسائل، مما يسمح لها باعتراض رموز المصادقة لمرة واحدة (OTPs) التي تستخدمها البنوك. كما يمكنها أن تصبح التطبيق الافتراضي للرسائل والمكالمات لحظر المكالمات التحذيرية.
  • تغيير الحافظة: تقوم بإعادة كتابة الحافظة بصمت، مستبدلة عناوين محافظ العملات المشفرة الخاصة بالمهاجمين، بحيث تصل أي دفعة منسوخة إلى الحساب الخاطئ.
  • تسجيل المفاتيح والشاشات: تتضمن keylogger و screen logger يسجلان كل ما يكتبه المستخدم ويراه، بالإضافة إلى قراءة جهات الاتصال والإشعارات.
  • التجسس الخفي: بدلاً من استخدام MediaProjection لالتقاط الشاشة (الذي يعرض إشعاراً مرئياً)، تلتقط البرمجية لقطات شاشة عبر Accessibility، وتضغطها إلى صور PNG، وترسلها إطاراً تلو الآخر، وهي طريقة أكثر هدوءاً وبساطة من تقنيات VNC المخفية التي شوهدت في عائلات برمجيات خبيثة أخرى مثل Klopatra.
تتميز Rokarolla بمرونة عالية في البنية التحتية للتحكم والقيادة، حيث تحمل عدة نطاقات C2 احتياطية ويمكن تحديثها بنطاقات جديدة أثناء التشغيل، مما يجعل إزالة خادم واحد غير فعال إلى حد كبير. وتُظهر هذه البرمجية نمطاً متوافقاً مع "موجة" من البرمجيات المصرفية لأندرويد في عام 2026، والتي تعتمد على أدوات “dropper” للتطبيقات المزيفة، وإساءة استخدام أذونات Accessibility، وتراكبات HTML. تُعد هذه البرمجية دليلاً واضحاً على النية الخبيثة في تجاوز الحماية التي يعتمد عليها المستخدمون، بدءاً من Play Protect وصولاً إلى شاشة القفل.

السياق وتأثير السوق

تأتي برمجية Rokarolla الخبيثة ضمن سياق متزايد لتهديدات الأمن السيبراني التي تستهدف الأجهزة المحمولة، خاصة تلك المرتبطة بالخدمات المالية والعملات المشفرة. إن قدرتها على استهداف 217 تطبيقاً، بما في ذلك تطبيقات بنكية ومحافظ رقمية، تُبرز مدى انتشار وتنوع أهداف المهاجمين. هذا العدد يفوق بكثير قدرات العديد من البرمجيات الخبيثة السابقة، مثل HOOK trojan التي كانت تمتلك 107 أوامر، مما يدل على تطور كبير في أدوات الهجوم. تُعد التقنيات التي تستخدمها Rokarolla، مثل التراكبات (overlays) وإساءة استخدام أذونات Accessibility، ليست جديدة تماماً في عالم البرمجيات الخبيثة لأندرويد. فقد رأينا عائلات أخرى من البرمجيات الخبيثة تستخدم آليات مشابهة في الماضي، مثل Klopatra. ومع ذلك، فإن دمج هذه التقنيات مع عدد كبير من أوامر التحكم عن بُعد والتنكر المعقد يرفع من مستوى التهديد. يمثل هذا التصعيد تحدياً كبيراً لشركات الأمن السيبراني ومطوري التطبيقات، حيث يجب عليهم باستمرار تطوير دفاعات تتجاوز هذه الأساليب المتطورة. على صعيد السوق، يمكن أن يكون لانتشار Rokarolla تأثيرات سلبية كبيرة. فهو يقوض ثقة المستخدمين في أمان الخدمات المصرفية عبر الهاتف المحمول وتطبيقات العملات المشفرة، مما قد يؤثر على تبني التقنيات المالية الحديثة. كما يمكن أن يؤدي إلى خسائر مالية كبيرة للأفراد والمؤسسات، وزيادة في تكاليف الأمن السيبراني للشركات المالية. إن التحدي الأكبر يكمن في حقيقة أن Rokarolla مصممة خصيصاً لتجاوز الدفاعات التي يُطلب من المستخدمين الاعتماد عليها، مما يجعل من الصعب اكتشافها والتعامل معها بالطرق التقليدية.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُعد برمجية Rokarolla الخبيثة تذكيراً صارخاً بالضعف المستمر لأمن الأجهزة المحمولة في مواجهة التهديدات المتطورة. إن حقيقة عدم وجود "تصحيح" مباشر يمكن تطبيقه ضد هذه البرمجية، نظراً لكونها برمجية خبيثة وليست عيباً في منتج، يعني أن المسؤولية الكبرى تقع على عاتق المستخدمين وعلى تطبيق ممارسات أمنية قوية. فالدفاعات الوحيدة المتاحة هي الدفاعات القياسية للبرمجيات المصرفية الخبيثة لأندرويد، والتي يجب على المستخدمين الالتزام بها بجدية. تتمثل أهم نقاط الضعف التي تستغلها Rokarolla في قدرتها على تعطيل Google Play Protect واستغلال أذونات Accessibility للحصول على سيطرة كاملة. هذا يسلط الضوء على الحاجة الملحة إلى أنظمة اكتشاف تهديدات محمولة أكثر تقدماً، مثل تلك التي توفرها Zimperium والتي تدعي أنها قادرة على كشف هذه العائلة من البرمجيات الخبيثة. بالإضافة إلى ذلك، يجب على المستخدمين أن يكونوا حذرين للغاية من أي طلبات وصول غير متوقعة لـAccessibility، حيث إن هذا الإذن هو مفتاح سلسلة الهجوم بأكملها. نحن نتوقع استمرار تطور هذه الأنواع من البرمجيات الخبيثة التي تركز على الجانب المالي، مع تكتيكات أكثر تطوراً للتنكر والتجاوز. يجب على الأفراد الالتزام بالمبادئ الأمنية الأساسية وهي: تثبيت التطبيقات فقط من متاجر موثوقة مثل Google Play، والحفاظ على تفعيل Google Play Protect، والتعامل مع أي طلب لأذونات Accessibility كعلامة حمراء تستدعي التدقيق الفوري. تظل يقظة المستخدم هي خط الدفاع الأول، ومع توفر مؤشرات الاختراق (IOCs) في مستودع GitHub الخاص بـZimperium، يمكن للمؤسسات الأمنية تعزيز دفاعاتها ضد Rokarolla وغيرها من التهديدات المماثلة. هذا التهديد يؤكد أن المعركة ضد البرمجيات الخبيثة المصرفية على أندرويد بعيدة عن الانتهاء وتتطلب يقظة وتكيفاً مستمرين.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.