فيروس "تروجان" يهاجم أجهزة أندرويد فى 7 دول

كشف تقرير حديث عن أن Medusa، وهو حصان طروادة المصرفي الذي تم التعرف عليه لأول مرة في عام 2020، قد عاد بعدة ترقيات جديدة تجعله أكثر تهديدًا، ويقال أيضًا أن الإصدار الجديد من البرامج الضارة يستهدف مناطق أكثر من الإصدار الأصلي.

واكتشفت إحدى شركات الأمن السيبراني فيروس طروادة النشط في كندا وفرنسا وإيطاليا وإسبانيا وتركيا والمملكة المتحدة والولايات المتحدة، وتهاجم ميدوسا في المقام الأول نظام التشغيل أندرويد من جوجل، ما يعرض أصحاب الهواتف الذكية للخطر، ومثل أي حصان طروادة مصرفي، فإنه يلاحق التطبيقات المصرفية الموجودة على الجهاز ويمكنه أيضًا إجراء عمليات احتيال على الجهاز.

اكتشاف نسخة جديدة من Medusa

أفادت شركة Cleafy للأمن السيبراني أنه تم رصد حملات احتيال جديدة تتضمن فيروس طروادة Medusa المصرفي في شهر مايو بعد أن ظلت تحت الرادار لمدة عام تقريبًا، ويعد Medusa هو نوع من TangleBot - وهو برنامج ضار يعمل بنظام Android ويمكنه إصابة الجهاز ومنح المهاجمين نطاقًا واسعًا من التحكم فيه.
وفي حين أنه يمكن استخدامها لسرقة المعلومات الشخصية والتجسس على الأفراد، فإن Medusa، كونها حصان طروادة المصرفي، تهاجم بشكل أساسي التطبيقات المصرفية وتسرق الأموال من الضحايا.

وتم تجهيز النسخة الأصلية من Medusa بقدرات قوية، وعلى سبيل المثال، كان لديه إمكانية الوصول عن بعد إلى طروادة (RAT) التي سمحت له بمنح المهاجم عناصر التحكم في الشاشة والقدرة على قراءة وكتابة الرسائل القصيرة، كما أنه يأتي مزودًا ببرنامج Keylogger، وقد سمح له هذا المزيج بتنفيذ أحد أخطر سيناريوهات الاحتيال، وهو الاحتيال على الجهاز، وفقًا للشركة.

ومع ذلك، يقال إن البديل الجديد أكثر خطورة، وقد وجدت شركة الأمن السيبراني أنه تمت إزالة 17 أمرًا كان موجودًا في البرامج الضارة القديمة في أحدث حصان طروادة، وقد تم ذلك لتقليل متطلبات الأذونات في الملف المجمع، مما يثير قدرًا أقل من الشكوك، ترقية أخرى هي أنه يمكن تعيين تراكب شاشة سوداء على الجهاز الذي تمت مهاجمته، مما قد يجعل المستخدم يعتقد أن الجهاز مقفل أو متوقف عن التشغيل، بينما يقوم حصان طروادة بأنشطته الضارة.

وبحسب ما ورد تستخدم الجهات الفاعلة في مجال التهديد آليات توصيل جديدة لإصابة الأجهزة، وفي وقت سابق، تم نشر هذه الرسائل عبر روابط الرسائل القصيرة، ولكن الآن، يتم استخدام تطبيقات dropper (التطبيقات التي تبدو مشروعة ولكنها تنشر البرامج الضارة بمجرد تثبيتها) لتثبيت Medusa تحت ستار التحديث، ومع ذلك، أبرز التقرير أن صانعي البرامج الضارة لم يتمكنوا من نشر Medusa عبر متجر Google Play.

وبعد التثبيت، يرسل التطبيق رسائل تطالب المستخدم بتمكين خدمات إمكانية الوصول لجمع بيانات المستشعر وضغطات المفاتيح، و يتم بعد ذلك ضغط البيانات وتصديرها إلى خادم C2 مشفر ،و بمجرد جمع معلومات كافية، يمكن لممثل التهديد استخدام الوصول عن بعد للسيطرة على الجهاز وارتكاب عمليات احتيال مالي.

ويُنصح مستخدمو Android بعدم النقر على عناوين URL التي تتم مشاركتها عبر الرسائل القصيرة أو تطبيقات المراسلة أو منصات الوسائط الاجتماعية بواسطة مرسلين غير معروفين ،ويجب عليهم أيضًا توخي الحذر أثناء تنزيل التطبيقات من مصادر غير موثوقة، أو ببساطة الالتزام بمتجر Google Play لتنزيل التطبيقات وتحديثها.