تكتب الرسائل بطريقة بشرية.. برمجية خبيثة جديدة تجتاح أجهزة أندرويد

اكتشف باحثو الأمن الرقمي أن عددًا من أجهزة أندرويد قد تعرضت لهجوم من برمجية خبيثة تُدعى Herodotus، تقوم بتأخير إرسال الرسائل النصية بشكل عشوائي، كطريقة لتمويه سلوكها، كي لا ترصدها أنظمة كشف الخداع. 

كيفية عملها

ولا تكتفي برمجية Herodotus بسرقة بيانات الدخول وتسجيل ضغطات المفاتيح والتقاط شاشة الجهاز، بل تتعمق في محاكاة سلوك المستخدم الحقيقي، حيث تقسم النص الذي تكتبه للاختراق إلى حروف، ثم تُدخل فواصل تأخير عشوائية تتراوح بين 0.3 إلى 3 ثوانٍ بين كل حرف وآخر.

هذا التأخير يجعل حركة الكتابة تبدو طبيعية أكثر، ويعقد رصدها من أنظمة المراقبة التي تعتمد على سرعة الكتابة كدلالة على نشاط آلي.

وتشير المعطيات إلى أن Herodotus تُستخدم حاليًّا في هجمات تستهدف مستخدمي الهواتف المحمولة عبر تطبيقات تُحاكي البنوك، وتُستخدم لإنشاء شاشات وهمية تغطي تطبيقات بنكية أو عملات رقمية، وتسرق بيانات المستخدمين.

إصابة الجهاز

يبدو أن العدوى تبدأ عبر تحميل من خارج متجر التطبيقات، غالبًا من رابط في رسالة نصية خبيثة تقوم بتثبيت Herodotus. 

وبعد التفعيل، تطلب البرمجية من الضحية فتح إعدادات خدمة إمكانية الوصول في أندرويد، ما يمنح المهاجم القدرة على القراءة والنقر والتمرير في جهاز الضحية، كما لو كان هو المستخدم.

ثم تجمع قائمة التطبيقات المُثبتة وترسلها إلى خادم التحكم والتوجيه لتحديد أي تطبيقات يجب العمل ضدها.

وبعدها تبدأ في تسجيل ضغطات المفاتيح اعتراض الرسائل النصية وسرقة رموز التحقق والبصمات وأرقام PIN. 

تهديد مميّز

الميزة التي تجعل Herodotus مختلفًا عن غيره، هي تلك المحاكاة الدقيقة لأنماط المستخدم البشري، سواء في تأخير الحروف أو التفاعل مع الشاشة، ما يجعل أنظمة الحماية التقليدية أقل قدرة على كشفها.

ويتوقع الخبراء احتمال انتشارها عالميًّا في حملات أوسع قريبًا؛ لذلك يُنصح مستخدمو أجهزة أندرويد بتجنب تحميل التطبيقات من خارج متجر موثوق، وعدم تفعيل صلاحيات إمكانية الوصول إلا لتطبيقات مأمونة، واليقظة تجاه رسائل SMS مشبوهة تحمل روابط.