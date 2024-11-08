تنتشر سلسلة جديدة من البرمجيات الضارة على نظام Android تعرف باسم SpyAgent — وتسرق لقطة الشاشة أثناء انتشارها. باستخدام تقنية التعرف البصري على الحروف (OCR)، تستهدف البرمجيات الضارة عبارات استرداد العملات الرقمية التي غالبا ما تخزن في لقطات شاشة على أجهزة المستخدم.
إليك كيفية تفادي الخطر.
تبدأ الهجمات — كالمعتاد — بمحاولات التصيّد الاحتيالي. يتلقى المستخدمون رسائل نصية تحثهم على تنزيل تطبيقات تبدو شرعية. وإذا وقعوا في الفخ وثبّتوا التطبيق، تبدأ برمجيات SpyAgent الضارّة عملها.
وهدفها؟ لقطات شاشة لعبارات الاسترداد المكوّنة من 12 إلى 24 كلمة، المستخدمة في محافظ العملات الرقمية. ولأن هذه العبارات طويلة ويصعب تذكرها، يلجأ المستخدمون غالبًا إلى التقاط لقطات شاشة للاحتفاظ بها للرجوع إليها لاحقًا. وإذا تمكن المخترقون من الاستحواذ على هذه اللقطات، فبإمكانهم استعادة المحفظة على جهاز يختارونه، ما يتيح لهم سرقة كامل العملات الرقمية التي تحتويها. ومتى خرجت الأموال، فغالبًا لا عودة لها؛ إذ إن طبيعة بروتوكولات العملات الرقمية تعني أن المعاملات بعد اكتمالها لا يمكن التراجع عنها. وإذا أُرسلت الأموال إلى عنوان خاطئ، فلن يكون أمام المُرسِل سوى مطالبة المستلِم بإنشاء معاملة إرجاع وإتمامها.
وإذا التقط المستخدمون لقطة شاشة لعبارة الاسترداد ثم استحوذت عليها برمجيات SpyAgent، فلن يحتاج المخترقون إلا إلى استعادة المحفظة وتحويل الأموال إلى الوجهة التي يختارونها.
وبحسب Coin Telegraph، تنتشر برمجيات SpyAgent الضارّة في South Korea، وقد تأثر أكثر من 280 ملف APK. وتُوزّع هذه التطبيقات خارج متجر Google Play الرسمي، وغالبًا ما يُروّج لها عبر رسائل SMS أو منشورات على وسائل التواصل الاجتماعي لجذب اهتمام المستخدمين. وبعض التطبيقات المصابة تنتحل هيئة خدمات حكومية في كوريا الجنوبية أو المملكة المتحدة (UK)، بينما يبدو أن بعضها الآخر تطبيقات مواعدة أو تطبيقات محتوى للبالغين.
وهناك أيضًا مؤشرات على أن المخترقين قد يستعدون للتوسع في المملكة المتحدة، وهو ما قد يفضي بدوره إلى نطاق اختراق أوسع. وعلى الرغم من أن البرمجيات الضارّة تعمل حاليًا على Android فقط، فإن هناك دلائل على أن إصدارًا لنظام iOS قد يكون قيد التطوير.
في حين تمثل عبارات استرداد العملات الرقمية أولوية قصوى عند SpyAgent، فإن استخدام تقنية التعرف البصري على الحروف (OCR) يعني أن أي صورة قد تصبح هدفًا محتملاً. على سبيل المثال، إذا كانت أجهزة العمل تتضمن لقطات شاشة لأسماء مستخدمين وكلمات مرور تخص قواعد بيانات أو أدوات تحليلات، فقد تتعرض أصول الشركة للخطر. تخيل مديرًا لديه إمكانية الوصول إلى خدمات آمنة متعددة، ويتطلب كل منها كلمة مرور مختلفة من أجل تقليل مخاطر الاختراق. وفي محاولة للحفاظ على كلمات المرور آمنة مع إبقائها متاحة عند الطلب، يعد هذا المدير قائمة ثم يلتقط لقطة شاشة تجمع تركيبات بيانات الاعتماد المختلفة لديه. ولأنهم يعتقدون أن جهازهم آمن، تستخدم الشركة حلولا مثل المصادقة متعددة العوامل (MFA) وتسجيل الدخول الموحَّد الآمن (SSO)، ولا يرون في لقطة الشاشة تلك مصدر خطر.
لكن إذا نجح المخترقون في إقناعهم بالنقر وتنزيل تطبيقات مصابة، يستطيع المخترقون الاطلاع على بيانات الصور المحفوظة وسرقتها، ثم استخدام تلك البيانات للحصول على وصول "شرعي" إلى الحسابات.
ويظهر خطر محتمل آخر من البيانات الشخصية. فقد يحتفظ المستخدمون بلقطات شاشة لبيانات صحية أو مالية شخصية، ما يعرضهم لخطر النقل غير المصرح للبيانات واحتيال الهوية. وقد تتضمن لقطات الشاشة كذلك تفاصيل اتصال سرية تخص شركاء أعمال أو مديرين تنفيذيين، ما يفتح الباب أمام جولة أخرى من هجمات التصيد الاحتيالي.
هذا النهج القائم على الصور في تنفيذ الاختراق يخلق مشكلتين عند فرق الأمن. أولاهما الزمن اللازم للكشف. إذ يستغرق اكتشاف الحادث واحتواءه 258 يومًا في المتوسط، وفق ما ورد في تقرير تقرير تكلفة خرق البيانات لعام 2024 الصادر عن IBM. لكن هذا الرقم ينطبق فقط عندما تعمل منظومة الأمن بكامل طاقتها. وإذا تعرضت الأجهزة المحمولة للاختراق نتيجة تصرفات المستخدمين، وكانت الغاية الوحيدة من البرمجيات الضارّة هي العثور على لقطات الشاشة وسرقتها، فقد يظل الأمر دون ملاحظة مدة أطول بكثير، ولا سيما إذا اختار المخترقون التريث.
وفي الوقت نفسه، عندما يقرر المجرمون تنفيذ عملية الاختراق، قد يكون الضرر كبيرًا. وباستخدام بيانات الاعتماد المسروقة، يستطيع المخترقون الوصول إلى خدمات بالغة الأهمية وحرمان مالكي الحسابات من الوصول إلى حساباتهم. ومن تلك النقطة، يمكنهم جمع البيانات وتنفيذ نقل غير مصرح للبيانات عبر مجموعة واسعة من أنظمة وخدمات تكنولوجيا المعلومات. ورغم أن هذا التصعيد العلني ينبه فرق تكنولوجيا المعلومات، فإن الاستجابة الأمنية تكون بطبيعتها تفاعلية؛ ما يعني أن الشركات لا تستطيع منع الاختراق، بل تركز على الحد من الأضرار.
الرسالة هنا بسيطة: ما يوجد على الهاتف لا يكون آمنًا بالكامل في أي وقت. تمثل لقطات شاشة كلمات مرور استرداد العملات الرقمية، وبيانات تسجيل الدخول الخاصة بالشركات وكلمات المرور، والبيانات الشخصية مثل أرقام الضمان الاجتماعي أو تفاصيل الحسابات البنكية أهدافًا ثمينة للمخترقين.
وتفادي الخطر يعني أيضًا عدم الوقوع في الفخ: تجاهل الرسائل النصية غير المتوقعة، وتنزيل التطبيقات حصريًا عبر متاجر تطبيقات معتمدة. ويتطلب الأمر كذلك اتخاذ احتياطات عملية. فطبيعة الأجهزة المتصلة باستمرار تجعل الأمان الكامل وهمًا. وكلما قلت البيانات المخزنة على الجهاز، كان ذلك أفضل.
ويمكن للمستخدمين تعزيز أمان الأجهزة عبر الالتزام بمتجر Google Play Store الرسمي. أما التطبيقات التي يتم تنزيلها خارج Play Store، فلا تقدم أي ضمانات تتعلق بالسلامة أو الأمان. وقد تكون بعض هذه التطبيقات سليمة لكنها لم تجتز فحص Google، وقد تكون تطبيقات أخرى نسخًا شبه مطابقة لتطبيقات رسمية تتضمن ملفات أو أوامر مخفية. وقد تكون بعض التطبيقات مجرد وسيلة لتثبيت برمجيات ضارّة والاتصال بخوادم القيادة والتحكم (C2).
كذلك يمكن للشركات الاستفادة من نشر الأتمتة الأمنية وأدوات أمن مدعومة بالذكاء الاصطناعي. فهذه الحلول تستطيع رصد أنماط سلوكية قد تبدو سليمة عند النظر إليها منفردة، لكنها تشكل مجتمعة مؤشرات اختراق (IoCs). كما تشير بيانات IBM، تمكنت الشركات التي استخدمت الذكاء الاصطناعي والأتمتة على نطاق واسع من اكتشاف الاختراقات واحتوائها بسرعة أكبر بمقدار 98 يومًا مقارنة بالمتوسط العالمي.
تتجول برمجيات SpyAgent الضارّة الآن في South Korea، وتسرق لقطات الشاشة لالتقاط عبارات استرداد محافظ العملات الرقمية، ما يعرض الشركات لخطر اختراق بيانات على نطاق أوسع.
ما أفضل وسيلة دفاع؟ مزيج ثلاثي يجمع بين تقليل حفظ لقطات الشاشة، وزيادة الحذر تجاه التطبيقات غير الرسمية، واعتماد حلول استخباراتية متقدمة.