كشفت شركة كاسبرسكي عن ظهور نسخة جديدة ومتطورة من برمجية حصان طروادة سيئة السمعة التي تُعرف باسم (تريادا)، وأوضحت الشركة أن هذه البرمجية الخبيثة تُثبت سابقًا في هواتف أندرويد مزيفة، وتُباع عبر قنوات تجارية غير مرخصة.

والأخطر من ذلك، أن هذه البرمجية الخبيثة تعمل بعمق ضمن البرامج الثابتة (Firmware) لنظام التشغيل أندرويد، وهو مستوى أساسي من البرمجيات يتحكم في أجهزة الهاتف، مما يجعلها تعمل في الخفاء وتمنح المهاجمين سيطرة كاملة وغير مرئية على الأجهزة المصابة، وقد طالت هذه النسخة المتطورة من برمجية (تريادا) بالفعل أكثر من 2,600 مستخدم في مختلف أنحاء العالم.

ما آلية عمل برمجية (تريادا) وقدراتها الجديدة؟

تتميز هذه النسخة الجديدة من برمجية (تريادا) بآلية عمل أكثر تعقيدًا وتخفيًا مقارنة بالبرمجيات الخبيثة التي تستهدف الهواتف الذكية وتعتمد عادةً على تطبيقات ضارة للانتشار، فبدلاً من ذلك، تتميز هذه النسخة المحدَّثة من برمجية (تريادا) بكونها مُدمجة مباشرة في إطار عمل نظام التشغيل، مما يمكنها من التسلل إلى جميع العمليات النشطة داخل الجهاز والتحكم فيها.

 وتتيح هذه الدرجة العميقة من الاختراق للمهاجمين تنفيذ مجموعة واسعة من الأنشطة الخبيثة، التي تشمل على سبيل المثال لا الحصر:

• الاستيلاء على حسابات التواصل الاجتماعي والرسائل: سرقة بيانات تسجيل الدخول لحسابات المستخدمين عبر منصات شهيرة مثل تيليجرام، وفيسبوك، وتيك توك، وإنستاجرام.
• التلاعب بالرسائل في تطبيقات المحادثة: القدرة على إرسال الرسائل في تطبيقات مشفرة مثل واتساب وتيليجرام وحذفها دون علم المستخدم.
• احتيال العملات الرقمية المشفرة: استبدال عناوين محافظ العملات الرقمية المشفرة الموجودة في الحافظة أو أثناء عمليات النسخ واللصق بعناوين يسيطر عليها المهاجمون بهدف سرقة الأموال.
• توجيه المكالمات الهاتفية: إعادة توجيه المكالمات الواردة والصادرة عبر انتحال هوية المتصل، مما قد يستخدم في عمليات احتيال معقدة.
• مراقبة نشاط المتصفح وتعديله: تتبع نشاط تصفح الإنترنت وحقن روابط ضارة أو صفحات تصيد احتيالي في المواقع التي يزورها المستخدم.
• التحكم الكامل في الرسائل النصية القصيرة: اعتراض الرسائل النصية القصيرة الواردة، وإرسال رسائل نصية قصيرة ضارة أو مدفوعة دون علم المستخدم، وحذف الرسائل لإخفاء الآثار.
• تفعيل الخدمات المدفوعة عبر الرسائل النصية: الاشتراك في خدمات مدفوعة عبر الرسائل النصية القصيرة بنحو تلقائي وسري، مما يؤدي إلى استنزاف رصيد المستخدم.
• تنزيل برمجيات خبيثة إضافية وتشغيلها: تتيح هذه النسخة الجديدة من برمجية (تريادا) للمهاجمين القدرة على تنزيل برمجيات خبيثة أخرىفي هواتف أندرويد المصابة وتثبيتها وتشغيلها بسهولة، مما يوسع نطاق الهجوم.
• التحايل على أنظمة مكافحة الاحتيال: حظر اتصالات الشبكة التي قد تستخدمها التطبيقات أو الخدمات للتحقق من شرعية العمليات أو اكتشاف الاحتيال.

وفي تعليقه على هذا الاكتشاف الخطير، قال ديمتري كالينين، محلل البرمجيات الخبيثة ضمن فريق أبحاث التهديدات الأمنية في شركة كاسبرسكي: “لقد تطورت برمجية تريادا الخبيثة لتصبح واحدة من أكثر التهديدات تقدمًا وتعقيدًا التي تستهدف نظام أندرويد بنحو شامل، إذ يتسلل هذا الإصدار الجديد من البرمجية إلى الجهاز على مستوى البرامج الثابتة – حتى قبل أن يصل ذلك الجهاز إلى المستخدم – مما يشير بوضوح إلى وجود اختراق خطير في سلسلة التوريد الخاصة بتصنيع هذه الهواتف المزيفة وتوزيعها، كما أوضح تحليل المصادر المفتوحة أن المهاجمين تمكنوا من تحويل ما يقارب 270,000 دولار أمريكي من العملات الرقمية المشفرة المسروقة إلى محافظهم، علمًا أن القيمة الإجمالية للعمليات الاحتيالية قد تكون أعلى بكثير  بسبب استخدام عملات يتعذر تعقبها مثل مونيرو”.

تسمية برمجية (تريادا) الخبيثة وتاريخ تطورها:

لقد أطلقت حلول كاسبرسكي الأمنية اسم (Backdoor.AndroidOS.Triada.z) على هذه النسخة الجديدة من البرمجية الخبيثة.

وتجدر الإشارة إلى أن برمجية تريادا اُكتشفت أول مرة في عام 2016، وقد شهدت تطورًا مستمرًا منذ ذلك الحين، واستغلت الإصدارات السابقة من تريادا صلاحيات الوصول على مستوى النظام لتنفيذ عمليات احتيال مختلفة، وسرقة رموز المصادقة الثنائية عبر الرسائل النصية القصيرة، وتطوير آليات متقدمة لتجنب الاكتشاف بواسطة برامج مكافحة الفيروسات.

وتُعدّ هذه الحملة الأخيرة تصعيدًا مقلقًا بنحو خاص، إذ تشير إلى أن المهاجمين قد استغلوا نقاط ضعف في سلسلة التوريد لتثبيت برمجيات خبيثة على مستوى البرامج الثابتة مباشرة ضمن الأجهزة المزيفة قبل وصولها إلى أيدي المستهلكين.

نسخ الرابط تم نسخ الرابط