أصبحت مسألة الأمن في الآونة الأخيرة ذات أهمية متزايدة في بيئة الإنترنت. وذلك لأنه حتى الأدوات الجديرة بالثقة نسبيًا التي توفر إدارة كلمات المرور غالبًا ما تقع ضحية لهجمات القراصنة. وفي كثير من الحالات، لا يهتم المهاجمون حتى بتطوير أدواتهم الخاصة من الصفر، بل يستخدمون حلولاً جاهزة تعتمد، على سبيل المثال، على نموذج MaaS، الذي يمكن نشره بأشكال مختلفة والغرض منه هو المراقبة عبر الإنترنت وتقييم البيانات. ومع ذلك، في أيدي المعتدين، فإنه يعمل على إصابة الأجهزة وتوزيع المحتوى الضار الخاص به. وتمكن خبراء الأمن من اكتشاف استخدام مثل هذه الخدمة MaaS التي تسمى Nexus، والتي تهدف إلى الحصول على المعلومات المصرفية من الأجهزة المزودة بها Android باستخدام حصان طروادة.
توقيع كليفى التعامل مع الأمن السيبراني تحليل طريقة عمل نظام Nexus باستخدام بيانات عينة من المنتديات السرية بالتعاون مع الخادم TechRadar. تم التعرف على شبكة الروبوتات هذه، وهي شبكة من الأجهزة المخترقة التي يتحكم فيها مهاجم، لأول مرة في يونيو من العام الماضي وتسمح لعملائها بتنفيذ هجمات ATO، وهي اختصار لعبارة "الاستيلاء على الحساب"، مقابل رسوم شهرية قدرها 3 دولار أمريكي. Nexus يتسلل إلى جهاز النظام الخاص بك Android يتنكر كتطبيق شرعي قد يكون متاحًا في متاجر تطبيقات الطرف الثالث المشكوك فيها غالبًا ويحزم مكافأة غير ودية على شكل حصان طروادة. بمجرد الإصابة، يصبح جهاز الضحية جزءًا من شبكة الروبوتات.
معرض الصور
يعد Nexus برنامجًا ضارًا قويًا يمكنه تسجيل بيانات اعتماد تسجيل الدخول إلى تطبيقات مختلفة باستخدام تسجيل لوحة المفاتيح، والتجسس بشكل أساسي على لوحة المفاتيح. ومع ذلك، فهو قادر أيضًا على سرقة رموز المصادقة الثنائية التي يتم تسليمها عبر الرسائل النصية القصيرة و informace من تطبيق Google Authenticator الآمن نسبيًا. كل هذا دون علمك. يمكن للبرامج الضارة حذف رسائل SMS بعد سرقة الرموز، أو تحديثها تلقائيًا في الخلفية، أو حتى توزيع برامج ضارة أخرى. كابوس أمني حقيقي
نظرًا لأن أجهزة الضحية جزء من شبكة الروبوتات، يمكن للجهات الفاعلة التي تستخدم نظام Nexus مراقبة جميع الروبوتات والأجهزة المصابة والبيانات التي تم الحصول عليها منها عن بعد، باستخدام لوحة ويب بسيطة. يقال إن الواجهة تسمح بتخصيص النظام وتدعم الإدخال عن بعد لما يقرب من 450 صفحة تسجيل دخول للتطبيقات المصرفية ذات المظهر الشرعي لسرقة البيانات.
يمكن أن تكون مهتمًا بـ
من الناحية الفنية، يعتبر Nexus بمثابة تطور لفيروس طروادة SOVA المصرفي اعتبارًا من منتصف عام 2021. ووفقًا لـ Cleafy، يبدو أن كود مصدر SOVA قد تمت سرقته بواسطة مشغل شبكة الروبوتات. Android، التي استأجرت MaaS القديمة. استخدم الكيان الذي يقوم بتشغيل Nexus أجزاء من كود المصدر المسروق ثم أضاف عناصر خطيرة أخرى، مثل وحدة برامج الفدية القادرة على قفل جهازك باستخدام تشفير AES، على الرغم من أن هذا لا يبدو نشطًا حاليًا.
ولذلك، تشارك Nexus الأوامر وبروتوكولات التحكم مع سابقتها سيئة السمعة، بما في ذلك تجاهل الأجهزة الموجودة في نفس البلدان التي كانت مدرجة في القائمة البيضاء لـ SOVA. وبالتالي، يتم تجاهل الأجهزة العاملة في أذربيجان وأرمينيا وبيلاروسيا وكازاخستان وقيرغيزستان ومولدوفا وروسيا وطاجيكستان وأوزبكستان وأوكرانيا وإندونيسيا حتى لو تم تثبيت الأداة. معظم هذه الدول أعضاء في رابطة الدول المستقلة التي تأسست بعد انهيار الاتحاد السوفيتي.
معرض الصور
نظرًا لأن البرامج الضارة تشبه حصان طروادة، فقد يتم اكتشافها على جهاز النظام Android متطلبة للغاية. قد يكون التحذير المحتمل هو رؤية ارتفاعات غير عادية في بيانات الهاتف المحمول واستخدام Wi-Fi، والتي تشير عادةً إلى أن البرامج الضارة تتواصل مع جهاز المتسلل أو يتم تحديثها في الخلفية. دليل آخر هو استنزاف البطارية بشكل غير طبيعي عندما لا يتم استخدام الجهاز بشكل فعال. إذا واجهت أيًا من هذه المشكلات، فمن الجيد أن تبدأ في التفكير في عمل نسخة احتياطية لبياناتك المهمة وإعادة ضبط جهازك على إعدادات المصنع أو الاتصال بمتخصص أمان مؤهل.
لحماية نفسك من البرامج الضارة الخطيرة مثل Nexus، قم دائمًا بتنزيل التطبيقات فقط من مصادر موثوقة مثل متجر Google Play، وتأكد من تثبيت آخر التحديثات، وامنح التطبيقات الأذونات اللازمة لتشغيلها فقط. لم يكشف Cleafy بعد عن مدى انتشار شبكة Nexus botnet، ولكن في هذه الأيام من الأفضل دائمًا توخي الحذر بدلاً من التعرض لمفاجأة سيئة.
