نشرت في: آخر تحديث:
تنقل نايلة الصليبي في “النشرة الرقمية” تحذير خبراء أمن المعلومات من مختبرCleafy لمستخدمي الهواتف الذكية التي تعمل بنظام التشغيل “أندرويد “، من انتشار إصدار جديد من البرنامج الخبيث SOVA. يستهدف أكثر من 200 تطبيق، أبرزها تطبيقات المصارف ومنصات تبادل العملات المشفرة.
حذر باحثو أمن المعلومات من مختبرCleafy مستخدمي الهواتف الذكية التي تعمل بنظام التشغيل أندرويد من انتشار إصدار جديد من البرنامج الخبيث SOVA. يستهدف التطبيقات المصرفية. وهو من نوع أحصنة طروادة التي تتسلل إلى أجهزة المستخدمين وتعمل في الخفاء.
هذا البرنامج الخبيث ليس بجديد…
برنامج الخبيث SOVA. ظهر في سبتمبر 2021، وحسب تقرير خبراء Cleafy فهم قد عثروا في مارس 2022 على إصدارات متعددة من البرمجية الخبيثة SOVA. ومن خصائصها اعتراض نظام التحقق المزدوج، وسرقة ملفات تعريف الارتباط واستهداف أنظمة مصرفية في بلدان معينة كالمصارف الفيليبينية. في شهر يوليو 2022 اكتشف خبراء Cleafy، إصدارًا جديدًا رابعا من البرنامج الخبيث SOVA (v4) والذي يستهدف أكثر من 200 تطبيق لهواتف أندرويد أبرزها تطبيقات المصارف ومنصات تبادل العملات المشفرة كمنصات Binance- Coinbase – Crypto.comو أيضا المحافظ الرقمية. هدف القراصنة الاستيلاء على العملات المشفرة المحفوظة من خلال هذه التطبيقات.
آلية انتشار البرنامج الخبيث SOVA
ينتشر SOVA (v4) بنسخته الرابعة عبر التطبيقات المزيفة. البرنامج الخبيث هو من نوع حصان طروادة؛ أي يخبئه القراصنة في حزمة تطبيق أندرويد APKلتطبيقات محددة مزيفة مخصصة مثلا لمتصفح “كروم” أو تطبيق التجارة إلكترونية الشهير “أمازون” وأيضا تطبيقات منصات بيع وشراء الرموز المميزة غير القابلة للاستبدال NFT . Non-fungible token
البرنامج الخبيث SOVA بنسخته الرابعة مزود بآلية عمل متطورة ما إن يثبت المستخدم المخدوع هذه التطبيقات المزيفة في هاتفه الذكي أندرويد، يقوم البرنامج الخبيث SOVAبالحصول على معرفات تطبيقات معينة، عن طريق إنشاء نافذة مشابهة لتصميم التطبيق المستهدف، التي تنبثق فوق النافذة الأصلية عند فتح التطبيق الشرعي. هذه النافذة المزيفة المركبة فوق النافذة الأصلية تخدع المستخدم الذي يضع تعريفات حسابه من دون حذر، أي اسم المستخدم وكلمة المرور الخاصة به دون الاشتباه في عملية الخداع.
كما كشف خبراء أمن المعلومات من مختبر Cleafy أن هذا الإصدار الرابع من البرنامج الخبيث SOVA يمكنه التقاط صور لشاشة الهاتف الذكي دون علم المستخدم. هذه الميزة الجديدة في هذا البرنامج الخبيث هي ميزة شائعة في العديد من البرامج الخبيثة من نوع حصان طروادة، تتيح سرقة البيانات الشخصية للضحايا بتكتم. وتسلب كل المعلومات. وأيضا كل بيانات ملفات تعريف الارتباط وبيانات تسجيل الدخول. من خلال هذه المعلومات المسلوبة يصبح بإمكان القراصنة، تجاوز، ولو مؤقتا، أمان مواقع مشفرة وتجاوز آليات الكشف عن الاحتيال التي وضعتها بعض الخدمات كخدمة الدفع PayPal.
قدرات متطورة إضافية غير مسبوقة في البرامج الخبيثة من هذا النوع
هذا وكشف خبراء أمن المعلومات مختبر Cleafy أن برنامج SOVA الخبيث في إصداره الرابع يمكنه منع الضحية من إلغاء تثبيت التطبيقات الملوثة بالبرنامج الخبيث .فعند محاولة إزالة التطبيق المفخخ يعرض على الشاشة الرئيسية للهاتف نافذة تحذير بأن “هذا التطبيق آمن”. ما يثير الشك لدى المستخدم الذي يظن أن متجر غوغل بلاي هو الذي يؤكد أمان هذا التطبيق المزيف الملوث بالبرمجية الخبيثة SOVA.
كذلك رصد باحثو Cleafy نسخة خامسة من برنامج SOVA الخبيث. قيد التطوير مع إضافة قدرات برامج الفدية Ransomware.
أي إن الإصدار الخامس المقبل منSOVA سيكون لديه القدرة كغيره من برامج الفدية، على تشفير جميع الملفات المخزنة في الهاتف الذكي الضحية. أي أنه سيجبر المستخدم على دفع فدية بالعملات المشفرة لاستعادة بياناته وملفاته. يقول خبراء Cleafy “إنه من النادر أن يحمل حصان طروادة شيفرة برنامج فدية. لكن يبدو أن القراصنة يتكيفون مع الاستخدامات المتغيرة اليوم للهواتف الذكية، التي باتت وحدات التخزين المركزية للبيانات الشخصية والتجارية وأداة دفع لمعظم المستخدمين”
تبقى النصيحة الدائمة، توخي الحذر عند تحميل أي تطبيق من داخل أو خارج متجر غوغل بلاي عن طريق مراجعة أراء المستخدمين على الويب بواسطة محرك البحث وليس فقط أراء صفحة التحميل.
يمكن الاستماع لـ “بودكاست النشرة الرقمية” على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل
للتواصل مع #نايلةالصليبي عبر صفحة برنامَج“النشرة الرقمية”من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@ وعلى ماستودون وعبرموقع مونت كارلو الدولية مع تحيات نايلة الصليبي