ظهر برمجية خبيثة جديدة من نوع حصان طروادة المصرفي تحمل اسم كليوباترا Klopatra تستهدف مستخدمي الهواتف العاملة بنظام Android في أوروبا. أوضح التقرير الصادر عن Cleafy أن برمجية التروجان مصممة بقدرات متقدمة تجعلها قادرة على سرقة أموال المستخدمين بسرية تامة، مع الحفاظ على نشاطها بعيداً عن أنظار المستخدم. وقد رصد الخبراء أولى النسخ في مارس الماضي، ثم انتشرت على نطاق واسع خلال الصيف لتصيب أكثر من 3000 جهاز في إيطاليا وإسبانيا.
أشار الباحثون إلى أن برمجيات القرصنة المالية تواصل التطور لمواجهة إجراءات الحماية. كليوباترا ليس نموذجاً جديداً كلياً، لكنه شديد الفعالية بفضل امتلاكه حلولاً لتجاوز أي طبقات تحقق أو ضوابط أمنية، إضافة إلى آليات تمنع تنبيه المستخدم أثناء عملية الاختراق.
في أوروبا كما في الولايات المتحدة، باتت متابعة البث الرياضي المباشر تتطلب الاشتراك في عدة مزودين. دفعت هذه الفجوة ملايين المستخدمين سابقاً إلى استخدام تطبيق Mobdro وهي أكبر منصة للبث المقرصن قبل إغلاقها في 2021. استغل المتسللون هذا الاسم لإعادة نشر تطبيق مزيف شبيه بـMobdro يخفي في داخله برمجية كليوباترا، مستفيدين من شهرة التطبيق وارتباطه بالمحتوى غير القانوني لإقناع المستخدمين بتحميله من خارج متجر Google Play. وبمجرد تثبيت التطبيق، يطلب الحصول على صلاحيات وصول تمنحه سيطرة شبه كاملة على الجهاز.
ولتجنب لفت انتباه الضحية، يستخدم كليوباترا تقنيات متقدمة مثل تجنب التحليل عبر Anti-sandboxing، وتشغيل مكتبات أصلية خارج بيئة Android الافتراضية، إضافة إلى الاعتماد على أداة ضغط وتشفير صينية تجارية باسم Virbox لإخفاء الشيفرة الخبيثة.
السيطرة عن بعد وتنفيذ التحويلات المالية في ساعات الليل
يصنف كليوباترا على أنه برمجية حصان طروادة للوصول عن بعد (RAT)، يمنح المهاجم قدرة شاملة على التحكم بالجهاز المستهدف، من التقاط صور الشاشة وتسجيلها إلى عرض إشعارات مزيفة. على غرار برمجيات حصان طروادة المصرفية الأخرى، يعرض شاشات تسجيل دخول مزيفة فوق التطبيقات الأصلية للحصول على بيانات اعتماد المستخدم. غير أن خطورته تتجلى في تمكين المهاجم من تنفيذ الأوامر كما لو كان يحمل الجهاز بيده، بما يشمل فتح التطبيقات، وإدخال كلمات المرور، ونسخ البيانات من الحافظة، وحتى إرسال رسائل نصية.
ولتجنب لفت انتباه الضحية، ينفذ المهاجمون أنشطتهم خلال الليل. حين يكون الجهاز موصولاً بالشاحن وشاشة العرض مطفأة. تفعل البرمجية الجهاز مع إبقاء الإضاءة على مستوى الصفر، ثم يستخدم كلمات المرور التي سبق سرقتها لفتح تطبيقات مصرفية وإجراء تحويلات مالية مباشرة إلى حسابات المهاجمين. وعند استيقاظ الضحية في الصباح، يكون الرصيد قد تبخر دون أن يلاحظ أي شيء أثناء العملية.
يحذر خبراء الأمن السيبراني من أن برمجيات الاحتيال المصرفي تتطور باستمرار لتتخطى أساليب الحماية التقليدية. وقد أشار كيم سميث، نائب الرئيس في Zimperium، إلى أن هذه البرمجيات لم تعد تكتفي بسرقة كلمات المرور، بل تنفذ عمليات احتيال لحظية باستخدام المزج بين الهندسة الاجتماعية والتحكم عن بعد وتقنيات الإخفاء، وهو ما يفرض على المؤسسات اعتماد حلول متخصصة قادرة على مواكبة سرعة المهاجمين.
