يتم توزيع البرمجية الخبيثة، التي تم تحديدها كنسخة مطورة من NFCShare، عبر مستودعات GitHub التي تبدو شرعية. يستخدم المهاجمون صفحات تصيد احتيالي تُحاكي مواقع البنوك الحقيقية، ويقنعون الضحايا بتنزيل تحديث مزعوم لتطبيقهم المصرفي. في الواقع، ما يقومون بتثبيته هو ملف APK خبيث مصمم لسرقة المعلومات المالية.
بعد التثبيت، تعرض البرمجية الخبيثة شاشة تحقق مزيفة تطلب من المستخدم تقريب بطاقته المصرفية من الهاتف. ومن خلال هذا التضليل، يستغل النظام تقنية NFC في الجهاز لقراءة بيانات البطاقة عبر واجهات أندرويد الشرعية.
الهدف هو التقاط معلومات حساسة مثل رقم البطاقة وتاريخ انتهاء الصلاحية ونوع البطاقة، وحتى رمز PIN المكون من أربعة أرقام والذي يدخله الضحية تحت اعتقاد خاطئ بأنه جزء من عملية أمنية.
تُرسل هذه المعلومات إلى خوادم يتحكم بها المهاجمون عبر اتصالات خفية، مما يُمكّن من استخدامها في عمليات الاحتيال المالي وأنظمة الدفع الاحتيالية.
وقد رصد باحثو الأمن السيبراني تطورًا في هذا النوع من برنامج NFCShare الخبيث مقارنةً بالإصدارات السابقة. ففي البداية، كان البرنامج يستهدف عملاء بنوك محددة فقط، ولكنه توسع الآن ليشمل مؤسسات مالية في عدة دول .
من أكثر جوانب هذه الحملة إثارة للقلق استخدام تقنيات لعرقلة تحليل البرمجيات الخبيثة. تتضمن ملفات APK الخبيثة هياكل حزم معدلة قد تُربك بعض أدوات الأمان الآلية، مع أنها لا تمنع التحليل اليدوي.
بالإضافة إلى ذلك، يجمع المهاجمون بين توزيع البرامج الضارة وتقنيات الهندسة الاجتماعية، مثل الرسائل النصية المزيفة أو المكالمات التي ينتحلون فيها صفة موظفي البنوك للضغط على الضحية.
يوصي خبراء الأمن السيبراني بتنزيل تطبيقات الخدمات المصرفية فقط من مصادر رسمية مثل متجر جوجل بلاي، مع إبقاء خدمة Google Play Protect مفعلة، والحذر من أي رسائل تطلب التحقق من تقنية الاتصال قريب المدى (NFC) أو تثبيت ملفات خارجية.
ليست هناك تعليقات:
إرسال تعليق