اكتشف باحثون من شركة كاسبرسكي أن البرمجية الخبيثة الروسية Riltok، التي تستهدف الهواتف المحمولة بهدف سرقة الأموال، قد أطلقت نسخاً جديدة وتعمل على توسعة هجماتها انطلاقاً من روسيا إلى أنحاء العالم، ولا سيما أوروبا، متنكرة في هيئة خدمات شهيرة في فرنسا وإيطاليا وبريطانيا. وكان قد تمّ رصد Riltkok لأول مرة في منتصف العام 2018.
ويُعدّ Riltok تروجاناً مصرفياً يمثل تهديداً خطراً لمستخدمي الهواتف الذكية نظراً لكونه مصمماً للوصول إلى الحسابات والأصول المالية لضحاياه، عن طريق سرقة بيانات اعتماد تسجيل الدخول وقرصنة الخدمات المصرفية عبر الإنترنت. وغالباً ما تخفي التروجانات نفسها بهيئة خدمات إنترنت وتطبيقات رسمية بهدف طمأنة المستخدم إلى تثبيتها وإدخال بيانات اعتماد الدخول وبياناته الحساسة فيها.
ويبدأ سيناريو الهجوم عموماً، في حالة التروجان Riltok (الاسم مشتق من العبارة Real Talk)، بتلقّي المستخدم رسالة نصية قصيرة تحتوي على رابط إلى موقع مزيف يشبه إلى حدّ بعيد موقع ويب شائعاً للإعلانات المبوبة المجانية، يدعو المستخدم إلى تثبيت الإصدار الجديد من تطبيق الهاتف المحمول للخدمة المصرفية التي يتعامل معها، والذي لا يعدو كونه في الواقع البرمجية الخبيثة Riltok. وبمجرد تنزيل البرمجية وتلقي الأذونات اللازمة من الضحية، فإنها تعيّن نفسها التطبيق الافتراضي الذي يتلقّى ويعرض الرسائل النصية القصيرة، ما يتيح للمهاجمين الاطلاع على جميع الرسائل النصية الواردة إلى المستخدم، ومنها رموز تأكيد عمليات البطاقات المصرفية التي تُستخدم لمرة واحدة OTP، فضلاً عن قيام التروجان بإرسال رسائل نصية قصيرة إلى أرقام أخرى لضمان الانتشار المستمر.
وتشمل أهمّ الوظائف التي تنفذها البرمجية الخبيثة ما يلي:
- سرقة بيانات اعتماد الدخول الخاصة بالبطاقة المصرفية من خلال عرض شاشة تطبيق وهمية لمتجر Google Play والطلب من الضحية إدخال معلومات بطاقته. وتُجري البرمجية فحصاً أساسياً للتحقق من أن التفاصيل المقدمة صحيحة، مثل حساب عدد أرقام البطاقة التي تم إدخالها.
- سرقة بيانات اعتماد الدخول إلى الحساب المصرفي من خلال عرض شاشة تحاكي تطبيقاً مصرفياً أو فتح صفحة تصيّد في متصفح الويب.
- إخفاء نشاط التطبيقات والإعدادات الأخرى، مثل الحلول الأمنية أو الإعدادات المخصصة لسلامة الجهاز.
- إخفاء الإشعارات الواردة من التطبيقات المصرفية الرسمية.
ووجد خبراء كاسبرسكي أن حوالي 4,000 مستخدم تعرضوا لهذه البرمجية الخبيثة حتى الآن، خاصة في روسيا، فضلاً عن إيطاليا وفرنسا وبريطانيا.
وقالت تتيانا شيشكوفا الباحثة الأمنية في كاسبرسكي إن خبراء الشركة ظلّوا يراقبون طريقة توزيع البرمجية الخبيثة Riltok "بهدوء ولكن بثبات" في جميع أنحاء روسيا، متوقعة أن "نشهد ارتفاعاً في الهجمات مع حرص مجرمي الإنترنت الذين يقفون وراء هذا التهديد على توسيع وصولهم إلى بلدان وقارات جديدة، بدءاً من أوروبا". وأضافت: "لاحظنا هذا السيناريو عدة مرات من قبل؛ فبمجرد إنشاء الجهات التخريبية برمجيات خبيثة ناجحة واختبارها في روسيا، فإنها تعدّلها لتصبح صالحة للاستخدام
مع ضحايا في الخارج وتبدأ عندها في استكشاف مناطق جديدة تغزوها بتلك البرمجيات، وعادة ما تنتهي مثل هذه التهديدات الخطرة إلى العالمية".
تجدر الإشارة إلى أن منتجات كاسبرسكي الأمنية تحدّد هذا التهديد باعتباره Trojan-Banker.AndroidOS.Riltok وتوقفه.
وينصح خبراء الأمن لدى كاسبرسكي باتباع التدابير التالية لحماية الأجهزة من البرمجيات المالية الخبيثة، بما فيها Riltok:
• تجنّب النقر على روابط مشبوهة ترد في الرسائل النصية القصيرة.
• حظر تثبيت البرمجيات من مصادر غير معروفة وقصر تثبيت التطبيقات على متاجر التطبيقات الرسمية.
• الانتباه دائماً إلى الأذونات التي تطلبها التطبيقات. فإذا كان الإذن المطلوب لا يتناسب مع وظيفة التطبيق، ومع ذلك يلزم لتشغيله، فمن الأفضل عدم استخدام التطبيق.
• استخدام حل أمني قوي للحماية من البرمجيات الخبيثة وإجراءاتها. ويمكن أن يساعد الإصدار المجاني من Kaspersky Internet Security for Android على تجنب الوقوع ضحية لمثل هذه التطبيقات.
اقرأ المزيد عن التروجان المصرفي Riltok على Securelist.com.
ويُعدّ Riltok تروجاناً مصرفياً يمثل تهديداً خطراً لمستخدمي الهواتف الذكية نظراً لكونه مصمماً للوصول إلى الحسابات والأصول المالية لضحاياه، عن طريق سرقة بيانات اعتماد تسجيل الدخول وقرصنة الخدمات المصرفية عبر الإنترنت. وغالباً ما تخفي التروجانات نفسها بهيئة خدمات إنترنت وتطبيقات رسمية بهدف طمأنة المستخدم إلى تثبيتها وإدخال بيانات اعتماد الدخول وبياناته الحساسة فيها.
ويبدأ سيناريو الهجوم عموماً، في حالة التروجان Riltok (الاسم مشتق من العبارة Real Talk)، بتلقّي المستخدم رسالة نصية قصيرة تحتوي على رابط إلى موقع مزيف يشبه إلى حدّ بعيد موقع ويب شائعاً للإعلانات المبوبة المجانية، يدعو المستخدم إلى تثبيت الإصدار الجديد من تطبيق الهاتف المحمول للخدمة المصرفية التي يتعامل معها، والذي لا يعدو كونه في الواقع البرمجية الخبيثة Riltok. وبمجرد تنزيل البرمجية وتلقي الأذونات اللازمة من الضحية، فإنها تعيّن نفسها التطبيق الافتراضي الذي يتلقّى ويعرض الرسائل النصية القصيرة، ما يتيح للمهاجمين الاطلاع على جميع الرسائل النصية الواردة إلى المستخدم، ومنها رموز تأكيد عمليات البطاقات المصرفية التي تُستخدم لمرة واحدة OTP، فضلاً عن قيام التروجان بإرسال رسائل نصية قصيرة إلى أرقام أخرى لضمان الانتشار المستمر.
وتشمل أهمّ الوظائف التي تنفذها البرمجية الخبيثة ما يلي:
- سرقة بيانات اعتماد الدخول الخاصة بالبطاقة المصرفية من خلال عرض شاشة تطبيق وهمية لمتجر Google Play والطلب من الضحية إدخال معلومات بطاقته. وتُجري البرمجية فحصاً أساسياً للتحقق من أن التفاصيل المقدمة صحيحة، مثل حساب عدد أرقام البطاقة التي تم إدخالها.
- سرقة بيانات اعتماد الدخول إلى الحساب المصرفي من خلال عرض شاشة تحاكي تطبيقاً مصرفياً أو فتح صفحة تصيّد في متصفح الويب.
- إخفاء نشاط التطبيقات والإعدادات الأخرى، مثل الحلول الأمنية أو الإعدادات المخصصة لسلامة الجهاز.
- إخفاء الإشعارات الواردة من التطبيقات المصرفية الرسمية.
ووجد خبراء كاسبرسكي أن حوالي 4,000 مستخدم تعرضوا لهذه البرمجية الخبيثة حتى الآن، خاصة في روسيا، فضلاً عن إيطاليا وفرنسا وبريطانيا.
وقالت تتيانا شيشكوفا الباحثة الأمنية في كاسبرسكي إن خبراء الشركة ظلّوا يراقبون طريقة توزيع البرمجية الخبيثة Riltok "بهدوء ولكن بثبات" في جميع أنحاء روسيا، متوقعة أن "نشهد ارتفاعاً في الهجمات مع حرص مجرمي الإنترنت الذين يقفون وراء هذا التهديد على توسيع وصولهم إلى بلدان وقارات جديدة، بدءاً من أوروبا". وأضافت: "لاحظنا هذا السيناريو عدة مرات من قبل؛ فبمجرد إنشاء الجهات التخريبية برمجيات خبيثة ناجحة واختبارها في روسيا، فإنها تعدّلها لتصبح صالحة للاستخدام
مع ضحايا في الخارج وتبدأ عندها في استكشاف مناطق جديدة تغزوها بتلك البرمجيات، وعادة ما تنتهي مثل هذه التهديدات الخطرة إلى العالمية".
تجدر الإشارة إلى أن منتجات كاسبرسكي الأمنية تحدّد هذا التهديد باعتباره Trojan-Banker.AndroidOS.Riltok وتوقفه.
وينصح خبراء الأمن لدى كاسبرسكي باتباع التدابير التالية لحماية الأجهزة من البرمجيات المالية الخبيثة، بما فيها Riltok:
• تجنّب النقر على روابط مشبوهة ترد في الرسائل النصية القصيرة.
• حظر تثبيت البرمجيات من مصادر غير معروفة وقصر تثبيت التطبيقات على متاجر التطبيقات الرسمية.
• الانتباه دائماً إلى الأذونات التي تطلبها التطبيقات. فإذا كان الإذن المطلوب لا يتناسب مع وظيفة التطبيق، ومع ذلك يلزم لتشغيله، فمن الأفضل عدم استخدام التطبيق.
• استخدام حل أمني قوي للحماية من البرمجيات الخبيثة وإجراءاتها. ويمكن أن يساعد الإصدار المجاني من Kaspersky Internet Security for Android على تجنب الوقوع ضحية لمثل هذه التطبيقات.
اقرأ المزيد عن التروجان المصرفي Riltok على Securelist.com.