آيتي-نيوز (Ghimob) – أسفرت عملية التتبع التي قام بها خبراء شركة “كاسبرسكي” الرائدة في عالم التقنيات وتطوير برامج الأمن للحماية من الفيروسات وبرامج التجسس، لحملة تشنها برمجية خبيثة تحمل اسم “Guildma” على أجهزة “ويندوز”، عن اكتشاف روابط توزع برنامجا ضارا على هيئة ملف مضغوط (ZIP)، إلى جانب ملف خبيث ثاني يتضح أنه وسيلة تنزيل لتثبيت برمجية مصرفية خبيثة تحت اسم “Ghimob“.
وتستطيع البرمجية الخبيثة “Ghimob” خلال عملية التسلل إلى الهاتف المحمول الذكي للمستخدم من تعطيل إلغاء التثبيت اليدوي، والحصول على البيانات، مع التحكم في محتوى الشاشة والتلاعب فيها عن بُعد، مما يتيح للمحتالين الذين يقفون وراء العملية الاحتيالية التحكم في الهاتف عن بُعد بكل أريحية.
ويُركز مطورو هذا النوع من أحصنة طروادة التقليدية، حسب خبراء كاسبرسكي، على المستخدمين في البرازيل، من خلال الوصول عن بُعد إلى هواتفهم، ولكن لديهم أيضا خطط أخرى للوصول إلى المستخدمين في مختلف أنحاء العالم، على اعتبار أن الحملة لا تزال في أوج عطائها.
وتعمل “Guildma” بصفتها أحد التهديدات المنتمية إلى سلسلة Tetrade سيئة السمعة، المعروفة بأنشطتها المتطورة الضارة في أمريكا اللاتينية وأجزاء أخرى من العالم، بشكل نشط على التقنيات الجديدة وتطوير البرامج الضارة بهدف استهداف المزيد من الضحايا الجُدد. وتتمثل مهمة البرمجية المصرفية الضارة الجديدة في حث الضحايا على تثبيت الملف الضار من خلال رسالة إلكترونية يتم بعثها على بريدهم الخاص، ويُشير من خلالها المحتالون إلى أنه مدين بالأموال، كما يتضمن البريد الإلكتروني أيضًا رابطا يمكن للضحية النقر عليه للحصول على مزيد من المعلومات الإضافية، غير أنه وبمجرد تثبيت “RAT”، يتم إرسال رسالة تفيد السيطرة بنجاح على الهاتف. وتشمل الرسالة العديد من المعلومات، منها نوع الهاتف المحمول للضحية، ووضعية تأمين الشاشة، وقائمة جميع التطبيقات المُحملة التي يمكن استهدافها من طرف البرنامج الضار، حيث بلغ مجموع التطبيقات المحمولة التي يمكن التجسس عليها اعتمادا على “Ghimob” 153 تطبيقا، وعلى وجه الخصوص التطبيقات الخاصة بالأبناك، والشركات المالية، والعملات الرقمية، والبورصة. وفي ما يخص الوظائف، تعمل البرمجة الضارة المصرفية في جيب الضحية، وتتجسس على جميع المعلومات الخاصة به، حيث يُمكن للمطورين الوصول إلى الجهاز المحمول عن بٌعد، وإنهاء عملية الاحتيال باستخدام الهاتف الذكي للمالك لتجنب تحديد الأدوات وتدابير الأمن التي تنفذها المؤسسات المالية، وكل أنظمتها السلوكية الخاصة بمكافحة الاحتيال. والأكثر من ذلك، يُمكن لبرمجية “Ghimob” تسجيل طراز إغلاق الشاشة وإعادة فتح الهاتف مرة أخرى والدخول إليه دون أن يعرف المستخدم ذلك، حيث أن المطورون وعندما يكونون في أهبة الاستعداد لتنفيذ معاملة احتيالية، يمكنهم إدراج وضع شاشة سوداء أو فتح مواقع أنترنت معينة في وضع ملء الشاشة. حينئذ، وفي الوقت الذي ينظر فيه المستخدم إلى هذه الشاشة، يقوم المطورون بإجراء المعاملة الاحتيالية في الخلفية، باستخدام التطبيق المالي المفتوح أو قيد الإنجاز الذي يعمل على الجهاز. وحسب ما كشفت عنه إحصائيات شركة “كاسبركسي”، فإن البرنامج الضار “Ghimob” لا يستهدف المستخدمين في البرازيل فقط، ولكن في باراغواي، وبيرو، والبرتغال، وألمانيا، وأنغولا، وموزمبيق أيضا. وفي هذا الصدد، قال فابيو أسوليني، الخبير الأمني لدى كاسبرسكي :”يسعى المجرمون الإلكترونيون في أمريكا اللاتينية إلى إعطاء لمسة عالمية إلى البرمجية المصرفية الضارة اعتمادا على الهواتف الذكية المحمولة، حيث سبق لهم فعل نفس الأمر فيما يخص ” Basbanke” و” BRata”، لكنهما برمجيتان ظلتا محدودتين في السوق البرازيلية فقط. والحقيقة أن “Ghimob” تُعد أول برمجية برازيلية تستهدف الخدمات المصرفية عبر الهاتف للمحمول جاهزة للانتقال إلى المستوى التالي من التوسع”. وأضاف الخبير الأمني :”نعتقد بناء على العديد من الأسباب التي تمت دراستها، أن هذه الحملة الجديدة من الممكن أن ترتبط بالتهديد الخبيث “Guildma”، المسؤول عن حصان طروادة المصرفي البرازيلي المعروف، على اعتبار أنهما يشتركان في البنية التحتية. لذلك، نوصي المؤسسات المالية بمراقبة هذه التهديدات عن كثب، مع تحسين عمليات المصادقة الخاصة بالدخول إلى التطبيق للاستفادة من الخدمات، وتعزيز تكنولوجيا مكافحة الاحتيال وبيانات استخبارات التهديدات، ومحاولة فهم كل مخاطر عائلة RAT الجديدة المتنقلة والحد منها”. وبناء على ما سبق، يُمكن لحلول “كاسبرسكي” معرفة البرمجيات الخبيثة التابعة للبرنامج الجديد والمعروفة بـ” Banker.AndroidOS.Ghimob.”. ومن أجل تفادي الوقوع في فخ البرمجيات الخبيثة والبقاء في مأمن من التهديدات المصرفية، توصي “كاسبرسكي” بإتباع الإجراءات الأمنية التالية:
· تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث معلومات الخاصة بالتهديدات (IT). وتُوفر منصة “كاسبرسكي” للتهديد الذكية، إمكانية الوصول إلى تكنولوجيا المعلومات في الشركة، وتوفر بيانات حول الهجمات الإلكترونية والملاحظات التي تجمعها “كاسبرسكي” لما يزيد عن 20 عامًا.
· رفع وعي الزبناء حول الحيل المحتملة التي يمكن للمجرمين استخدامها من خلال بعث معلومات منتظمة حول كيفية تحديد الاحتيال وكيفية التصرف في هذا الموقف.
· الاعتماد على حل مكافحة الاحتيال، مثل Kaspersky FrudPrevention، الذي يعمل على حماية القناة المحمولة من الحوادث عندما يستخدم المجرمون الوصول عن بُعد لإجراء معاملة احتيالية. وكحماية، يستطيع الحل الكشف عن البرامج الضارة لـ RAT على الجهاز، وتحديد علامات التحكم عن بُعد عبر برنامج رسمي. من أجل الحصول على معلومات أوفى حول التهديدات الجديدة، يُمكنكم قراءة التقرير كاملا من خلال الرابط أسفله: https://securelist.com/ghimob-tetrade-threat-mobile-devices/99228/
نبذة حول “كاسبيرسكي”
تأسست شركة “كاسبيرسكي” العالمية للأمن السيبراني عام 1997. الشركة معروفة بخبرتها الكبيرة في مجال أمن التهديدات وأمن تكنولوجيا المعلوميات، وتعمل دائما على إنشاء حلول وخدمات أمنية لحماية الشركات والبنيات التحتية الحيوية، والسلطات العامة والأفراد في جميع أنحاء العالم.
تضمن مجموعة الحلول الأمنية الواسعة لـ “كاسبرسكي” حماية شاملة ونهائية للهواتف وإضافة إلى حلول وخدمات أمنية مخصصة لمكافحة التهديدات الرقمية المتطورة باستمرار. كما تساعد تقنيات “كاسبيرسكي” أكثر من 400 مليون مستخدم و250.000 زبون على حماية الأشياء الأكثر أهمية بالنسبة لهم.
