وجد باحثو كاسبرسكي عند تتبعهم حملة تُشنّ باستخدام البرمجية المصرفية الخبيثة Guildmaعلى الأجهزة العاملة بالنظام “ويندوز”، عناوين ويب توزع ملفًا خبيثًا بتهيئة ZIP بجانب ملف خبيث آخر يبدو أنه أداة تنزيل لتثبيت تروجان مصرفي جديد يُدعى Ghimob.
ويرسّخ Ghimobنفسه عند التسلل إلى نمط قدرات الوصول في الهاتف الذكي المستهدف، حيث يستطيع تعطيل إلغاء التثبيت اليدوي، والتقاط البيانات، والتلاعب بمحتوى الشاشة، وتمكين الجهات التي تقف وراءه من التحكّم الكامل عن بُعد بالجهاز. ووفقًا للخبراء، يركّز مطورو هذا الطراز النموذجي من تروجان الوصول عن بُعد على مستخدمي الهواتف الذكية في البرازيل، لكن لديهم خططًا طموحة للتوسّع في جميع أنحاء العالم، مع تواصل نشاط الحملة.
ويُعدّ Guildma أحد التهديدات الرقمية التابعة لعصابة Tétrade سيئة السمعة، المعروفة بأنشطتها التخريبية القابلة للتوسع في كل من أمريكا اللاتينية وأجزاء أخرى من العالم، والتي تعمل بنشاط على تطوير تقنيات جديدة، وتطوير برمجيات خبيثة لاستهداف مزيد من الضحايا.
ويجذب التروجان Ghimobالجديد ضحاياه إلى تثبيت الملف الخبيث من خلال رسالة بريد إلكتروني تشير إلى أن مستلمها مطالب بسداد بعض الديون،وتتضمن رابطًا يقودهم إلى ما يُزعم أنه معلومات وافية عن تلك الديون. وترسل البرمجية الخبيثة،بمجرد تثبيت التروجان،رسالة إلى خادم القيادة والسيطرة الذي تتبع له لتؤكدنجاح إصابتها لجهاز الضحية المحمول المستهدف. وتتضمن الرسالة طراز الهاتف، وإفادة حول تفعيل وضعية تأمين الشاشة، وقائمة بجميع التطبيقات المثبتة التي يمكن أن تستهدفها البرمجية الخبيثة. ويمكن للتروجانGhimob التجسس على 153 تطبيقًا محمولًا، لا سيما تطبيقات البنوك وشركات التقنيات المالية والعملات الرقمية والصرافة.
وتجعل وظائف Ghimobمن هذا التروجان جاسوسًا قابعًا في جيب الضحية؛ إذ يمكن للمطورين الوصول عن بُعد إلى الجهاز المصاب وإكمال عمليات الاحتيال عبره مع تجنّب تحديد هوية الجهاز وتجاوز تدابير الأمن التي تنفذها المنشآت المالية والأنظمة السلوكية الخاصة بمكافحة الاحتيال، كمايستطيع Ghimobتسجيل نمط قفل شاشة الجهاز ليتمكّن من فتحها.فعندما يكون المحتالون مستعدين لإجراء معاملة احتيالية، يُدرجون شاشة تمويهية سوداء أو يفتحون بعض مواقع الويب بنمط الشاشة الكاملة. وبينما ينظر المستخدم إلى تلك الشاشة، ينفذ المحتالون المعاملة الاحتيالية في الخلفية بعد فتح التطبيق المالي المرغوب وتسجيل الدخول إليه على الجهاز.
وتُظهر إحصائيات كاسبرسكي وجود أهداف لتروجان Ghimob في كل من باراغواي وبيرو والبرتغال وألمانيا وأنغولا وموزمبيق، بالإضافة إلى البرازيل.
ولطالما تملّكت الرغبة مجرمي الإنترنت في أمريكا اللاتينية بالحصول على تروجان مصرفي ذي انتشار عالمي مخصص للهواتف الذكية، بحسب فابيو أسوليني الخبير الأمني لدى كاسبرسكي، الذي أشار إلى وجود تروجانات تركز بشدة على السوق البرازيلية،مثل Basbanke وBRata. وأكّد أن التروجانGhimob”أول تروجان برازيلي يستهدف الخدمات المصرفية على الهاتف الذكية جاهز للتوسع عالميًا”. وقال: “قد تكون هذه الحملة الجديدة مرتبطة بجهة التهديد Guildma، المسؤولة عن أحد أبرز التروجانات المصرفيةالبرازيلية، وذلك لأسباب عديدة أهمها الاشتراك بالبنية التحتية نفسها. وفي كل الأحوال، نوصي بأن تراقب المؤسسات المالية هذه التهديدات عن كثب، مع تحسين إجراءات المصادقةعلى الدخول، وتعزيز تقنيات مكافحة الاحتيال وبيانات معلومات التهديدات، ومحاولة إدراك جميع مخاطر التي تنطوي عليها عائلة تروجانات الوصول عن بعد المحمولة الجديدة هذه والتخفيف من حدّتها”.
هذا، وبوسع حلول كاسبرسكي الأمنية الكشف عن العائلة الجديدة بالاسم Trojan-Banker.AndroidOS.Ghimob.
وتوصي كاسبرسكي باتخاذ الإجراءات الأمنية التاليةللبقاء في مأمن من تروجانات الوصول عن بُعد، والتهديدات المصرفية:
- تزويد فريق مركز العمليات الأمنية بإمكانية الوصول إلى أحدث المعلومات الخاصة بالتهديدات. وتُعتبرمنصة Kaspersky Threat Intelligence Portal نقطة وصول واحدة إلى هذه المعلومات التي جمعتها كاسبرسكي على مدار أكثر من 20 عامًا وتشمل بيانات الهجمات الرقمية.
- توعية العملاءبالحيل المحتملة التي قد يستخدمها المخربون، وذلك عبر مراسلات منتظمة تتضمن معلومات توعوية بطرق التعرّف على الاحتيال والتصرّف إزاءها.
- اللجوء إلى أحد حلول مكافحة الاحتيال، مثل Kaspersky Fraud Prevention، لحمايةتطبيقات الهاتف المحمول من وصول المخربين عن بُعد لإجراء معاملات احتيالية. وبوسع الحل اكتشاف وجود التروجان على الجهاز وتحديد وجود أي علامات على التحكم عن بعد بالتطبيقات الرسمية.
يمكن الاطلاع على التقرير الكامل عن هذه التهديدات، على الصفحة Securelist.
