في تصعيد خطير للهجمات السيبرانية عبر الهواتف المحمولة، كشفت تقارير أمنية عن عودة برمجية “GodFather” الخبيثة بأسلوب تقني متقدّم يعتمد على المحاكاة الافتراضية على الجهاز، ما يتيح لها التحكّم الكامل بالتطبيقات المصرفية المشروعة وتشغيلها داخل بيئة معزولة دون إثارة أي شكوك لدى المستخدم.
وبخلاف الأسلوب التقليدي الذي كانت تعتمد فيه البرمجية على إنشاء واجهات وهمية لخداع المستخدمين، تستخدم النسخة الجديدة تطبيقاً مضيفاً خبيثاً يحتوي على إطار افتراضي خاص، يقوم بتنزيل نسخة من التطبيقات الحقيقية المستهدفة – مثل التطبيقات المصرفية أو محافظ العملات المشفرة – وتشغيلها داخل حاوية مغلقة. وبهذا، تصبح جميع تفاعلات المستخدم تحت سيطرة البرمجية، بما في ذلك كلمات المرور وأكواد التحقق، وحتى إجراءات التشفير الداخلية.
وأكد الباحثان فرناندو أورتيغا وفيشنو براتاباجيري من وحدة zLabs التابعة لشركة Zimperium، أن هذه التقنية تمنح المهاجمين “رؤية كاملة لكل ما يجري داخل التطبيق”، مع إمكانية التحكم عن بعد واستخدام أدوات متقدمة لتجاوز آليات الحماية مثل كشف الجذر (Root Detection).
استهداف مباشر لبنوك تركية… وتمويه محكم ضد التحليل الثابت
حتى الآن، تركزت الهجمات على 12 بنكاً ومؤسسة مالية تركية من بينها Akbank Mobile وGaranti BBVA وHalkbank Mobil وZiraat Mobile، وفقاً للتقرير الذي أشار إلى أن البرمجية تواصل فحص مئات التطبيقات عالمياً، مما يلمّح إلى نوايا توسّعية.
ويجمع الخبراء على أن قدرة البرمجية على محاكاة سلوك المستخدم وتجاوز أدوات التحليل الساكن – مثل التلاعب بملفات ZIP وتحويل الكود إلى طبقة Java – تجعل اكتشافها شبه مستحيل عبر الفحص التقليدي أو اليقظة الفردية.
وأشار فريق Zimperium إلى أن “البرمجية تمثل نقلة نوعية في مشهد التهديدات المحمولة”، حيث ترقى لتصبح واحدة من أكثر أدوات الهجمات انتشاراً واستخداماً في إطار “البرمجيات الخبيثة كخدمة”، إذ سبق أن تم توزيعها عبر أكثر من 1000 نسخة في 57 دولة بحلول أبريل الماضي.
زعزعة الثقة بين المستخدم والتطبيق
وصف إريك شواك، مدير استراتيجية الأمن السيبراني في شركة Salt Security، هذا النوع من التهديدات بأنه “يقوّض العلاقة الأساسية بين المستخدم وتطبيقاته”، معتبراً أن الاعتماد المتزايد على واجهات برمجة التطبيقات (APIs) وغياب الحماية من جهة المستخدم يجعل المؤسسات عرضة لاختراقات صامتة من داخل الجهاز.
وقالت أبريل لينهارد، مديرة المنتجات في شركة Qualys، إن “الاستحواذ الكامل على الحسابات بات يتم بشكل سريع وصاعق”، مشددة على أن “التحوّل في الأساليب يفرض استراتيجيات جديدة تتجاوز الحماية الخلفية إلى تأمين الطرف المستخدم نفسه”.
ودعت شركة Zimperium إلى مراجعة شاملة لاستراتيجيات الأمن السيبراني، مؤكدة أن الحل لم يعد يكمن فقط في تحسين الدفاعات التقليدية، بل في استباق محاولات التجسّس على مستوى الجهاز وتشغيل التطبيقات ذاتياً من طرف المهاجم.
