FireScam: البرنامج الخبيث المتطور الذي ينتحل صفة Telegram Premium لمهاجمة أجهزة Android

  • FireScam هو برنامج ضار متقدم ينتحل صفة Telegram Premium على Android ويسرق البيانات الشخصية والمصرفية.
  • يتم توزيعه من خلال صفحات احتيالية على GitHub تحاكي متجر تطبيقات RuStore الشهير في روسيا.
  • ويستخدم تقنيات التهرب والاستمرار المتطورة، ويراقب أنشطة متعددة على الجهاز المحمول، وينقل البيانات إلى خوادم بعيدة في الوقت الحقيقي.
  • لحماية نفسك، من الضروري تجنب تنزيل التطبيقات خارج المتاجر الرسمية والحذر الشديد من الروابط المشبوهة.
Joaquin Romero

10 دقيقة

FireScam، البرنامج الخبيث الذي ينتحل شخصية Telegram Premium

لا يزال مشهد التهديدات لمستخدمي Android يتطور، ويفاجئنا باستمرار بتقنيات الخداع وانتحال الشخصية الجديدة. لقد انفجرت على الساحة بقوة في الآونة الأخيرة فايرسكام، وهو برنامج خبيث متطور لا يتمكن فقط من التظاهر بأنه الإصدار المتميز الذي طال انتظاره من Telegram، ولكنه يستخدم أيضًا حيلًا متطورة بشكل متزايد للتسلل إلى الأجهزة وسرقة المعلومات السرية.

وتثير قضية FireScam قلقًا خاصًا نظرًا لعدد الضحايا المحتملين والطريقة التي تستغل بها ثقة المستخدمين وفضولهم. يستغل مجرمو الإنترنت شعبية تيليجرام ورغبتهم في الوصول إلى ميزاته المدفوعة مجانًا، مستخدمين مواقع ويب تبدو شرعية لتضليل حتى أكثر المستخدمين خبرة. هنا، نشرح خطوة بخطوة آلية عمل فايرسكام، وخطورته، والأساليب التي يستخدمها للإخفاء، والأهم من ذلك، كيف يمكنك حماية نفسك.

ما هو FireScam وكيف يخدع المستخدمين؟

FireScam هو برنامج ضار تم تصميمه خصيصًا لأجهزة Android والذي يتنكر في صورة الإصدار المتميز من Telegram. بمجرد تثبيته، يكون هدفه الرئيسي هو جمع أكبر قدر ممكن من البيانات الشخصية والمصرفية، والسيطرة على الهاتف وإرسال المعلومات التي تم الحصول عليها إلى الخوادم التي يسيطر عليها المهاجمون.

تبدأ عملية الاحتيال بصفحات التصيد الاحتيالي المستضافة على GitHub والتي تحاكي متجر تطبيقات RuStore. رغم أن RuStore قد يبدو منصةً غير مألوفة لمعظم الناس في الغرب، إلا أنه يحظى بشهرة واسعة بين المستخدمين الروس كبديلٍ لمتجرَي Google Play وApp Store، خاصةً في أعقاب القيود والعقوبات الغربية. يستغل مجرمو الإنترنت هذه السمعة لخلق شعورٍ زائفٍ بالأمان: إذ يُنقل المستخدمون إلى نسخةٍ مطابقةٍ تقريبًا للموقع الأصلي الذي يُقدّم التطبيقَ المُفترض أنه مدفوع.

تعرف على البرامج الضارة التي تستنسخ البطاقات باستخدام تقنية NFC
المادة ذات الصلة:
SuperCard X وNGate: البرنامج الخبيث الجديد الذي يستنسخ بطاقات الائتمان عبر NFC على Android وكيفية حماية نفسك

بمجرد أن يقوم الزائر بتنزيل ما يعتقد أنه Telegram Premium—عادةً ملف APK يسمى GetAppsRu.apk أو Telegram Premium.apk—يبدأ الخطر الحقيقي. يطلب هذا التطبيق الخبيث صلاحياتٍ مُفرطة، كالوصول إلى مساحة التخزين، وقراءة الإشعارات، واعتراض الرسائل النصية، وحتى التحكم في التحديثات المستقبلية للتطبيق نفسه. بمجرد منح هذه الصلاحيات، يكتسب FireScam سيطرةً شبه كاملة على الجهاز المُصاب.

عملية العدوى: من التنزيل إلى سرقة البيانات

كيف يعمل برنامج FireScam الخبيث على Telegram

تتبع عدوى FireScam بنية معقدة متعددة المراحل. في البداية، يتم تنزيل APK dropper، والذي يعمل كخط دفاع أول لتجاوز الحواجز الأمنية وتوصيل الحمولة الخبيثة الفعلية.

  • محاكاة RuStore على GitHub: يتم الوصول الأولي من خلال اتباع الروابط إلى مواقع الويب التي تحاكي شكل ومظهر متجر التطبيقات الروسي، مما يساعد في الحفاظ على مظهر الشرعية.
  • تنزيل APK dropper: بمجرد أن يقرر المستخدم "تثبيت Telegram Premium"، فإنه في الواقع يقوم بتنزيل الرابط الأول من البرامج الضارة، والذي يسمى عادةً GetAppsRu.apk.
  • تثبيت البرامج الضارة الرئيسية: بعد ذلك يقوم البرنامج الخبيث بتثبيت التطبيق الخبيث الفعلي، والذي يتنكر مرة أخرى في صورة تطبيق Telegram Premium ويطلب أذونات مهمة على الهاتف.

La تطبيق احتيالي استفد من هذه الأذونات للوصول إلى أنواع مختلفة من المعلومات الحساسة:

  • الإشعارات والرسائل النصية القصيرة: قادرة على اعتراض وقراءة أي إشعار يصل إلى الجهاز، بما في ذلك رسائل التحقق البنكي أو رموز المصادقة الثنائية.
  • محتويات الحافظة: يمكن التقاط أي شيء تقوم بنسخه (كلمات المرور، بطاقات البنك، أجزاء الرسائل) وإرساله إلى المهاجمين.
  • جهات الاتصال وسجلات المكالمات: يطلب FireScam الوصول إلى دفتر العناوين بالكامل وسجلات الهاتف، مما يسمح له بتكوين ملف تعريف أفضل للضحية وتوسيع سلسلة العدوى.
  • المعاملات المالية والنشاط على الشاشة: تقوم البرامج الضارة بمراقبة كل الأنشطة، وخاصة المعاملات في تطبيقات الخدمات المصرفية أو عمليات الشراء عبر الإنترنت.

تقنيات التهرب والاستمرار المتقدمة

أحد الأسباب التي تجعل من الصعب اكتشاف FireScam هو استخدامه لتقنيات التعتيم والتحليل المضادة المتقدمة. وتسمح هذه التكتيكات للبرنامج الخبيث بإخفاء نفسه عن أنظمة الأمان، وعدم اكتشافه بواسطة برامج مكافحة الفيروسات، وغالبًا ما يظل مثبتًا حتى بعد إعادة تشغيل الجهاز.

ومن بين الاستراتيجيات الأكثر شهرة:

  • التحكم بالتحديث: من خلال الاستفادة من إذن ENFORCE_UPDATE_OWNERSHIP، يمكن للبرامج الضارة المطالبة بملكية أي تطبيق مثبت، مما يمنع التحديثات المشروعة من إلغاء تثبيته أو استبداله دون إذن المستخدم.
  • مراقبة حالة الجهاز: يعرف FireScam متى يتم تشغيل الشاشة أو إيقاف تشغيلها، وأي التطبيقات مفتوحة، ومدة بقائها نشطة، ويجمع معلومات حول عادات المستخدم ونشاطاته.
  • الكشف عن البيئات الافتراضية: إذا اكتشف البرنامج الضار أنه يعمل في محاكي أو بيئة اختبار، فإنه يغير سلوكه على الفور أو يوقف أي إجراءات مشبوهة، مما يجعل عمل خبراء الأمن السيبراني أكثر صعوبة.
  • الاستمرار بعد إعادة التشغيل: حتى بعد إيقاف تشغيل الهاتف وتشغيله مرة أخرى، يظل FireScam نشطًا وعاملاً، مما يمنع الحذف العرضي من قبل الضحية.

نقل البيانات والاتصال بالخوادم البعيدة

يتم عادةً إرسال كافة المعلومات التي تم جمعها بواسطة FireScam على الفور إلى خوادم بعيدة يتحكم فيها المهاجمون الإلكترونيون. القناة المفضلة هي قاعدة بيانات في الوقت الفعلي يتم إدارتها من خلال Firebase، وهي منصة تسهل النقل والتخزين المستمر والعالي السرعة للبيانات.

بالإضافة إلى ذلك، يقوم FireScam بإنشاء اتصال WebSocket ثابت مع خادم الأوامر والتحكم (C2) الخاص به. وبفضل هذا، يستطيع المهاجمون إرسال أوامر في الوقت الفعلي إلى الجهاز المصاب، وضبط نوع المعلومات التي تم جمعها والإجراءات المتخذة عن بعد - على سبيل المثال، تنزيل تحديثات إضافية للبرامج الضارة، أو تعديل تقنيات المراقبة، أو بدء عمليات سرقة المعلومات المصرفية بناءً على الاحتياجات الحالية.

اكتشف الخبراء أن البيانات المسروقة لا تبقى في قاعدة بيانات Firebase لفترة طويلة: في كثير من الأحيان، يقوم المجرمون الخبيثون باستخراج المعلومات ذات الصلة بسرعة وحذف الباقي، مما يجعل من الصعب بشكل كبير على الضحايا - أو السلطات - تتبع مدى الهجوم أو استعادة التفاصيل حول ما تمت سرقته.

المخاطر والنطاق العالمي للتهديد

على الرغم من أن فايرسكام بدا في البداية وكأنه يستهدف السوق الروسية باستخدام متجر RuStore كأداة إغراء، إلا أن تأثيره عالمي ويمكن أن يصيب أي مستخدم أندرويد يُنزّل تطبيقات من خارج المتاجر الرسمية. ويهتم هذا البرنامج الخبيث تحديدًا بالبيانات المالية، مما يجعله تهديدًا لأي شخص يستخدم هاتفه للدفع عبر الإنترنت، أو إدارة حساباته المصرفية، أو تخزين كلمات المرور.

المخاطر المحددة المرتبطة بـ FireScam متعددة:

  • سرقة بيانات الاعتماد المصرفية والبيانات الحساسة: إذا قمت بإدخال اسم المستخدم وكلمة المرور الخاصين بك على Telegram أو أي منصة أخرى من خلال التطبيق المزيف، فإن هذه المعلومات تقع على الفور في أيدي المهاجمين.
  • سرقة كلمات المرور المخزنة في المديرين: يمكن لـ FireScam اعتراض البيانات في تطبيقات إدارة كلمات المرور إذا لم تكن محمية بشكل صحيح.
  • جهاز التحكم عن بعد: بفضل استمراريتها واتصالاتها في الوقت الفعلي، يمكن للبرامج الضارة تلقي الأوامر وتنفيذ الإجراءات في أي وقت، دون أن يلاحظ المستخدم ذلك.
  • اعتراض رموز التحقق والمصادقة: يتيح الوصول إلى الرسائل النصية القصيرة والإشعارات الحصول على الرموز المستخدمة في التحقق المزدوج بسهولة أكبر، مما يمهد الطريق لهجمات أكثر نطاقًا.

لماذا يعد القضاء على FireScam صعبًا للغاية؟

لا يكمن تطور FireScam في قدراته على السرقة فحسب، بل أيضًا في المرونة والتنوع الذي يوفره لمجرمي الإنترنت:

  • طبقات متعددة من التعتيم: ويستخدم تقنيات الإخفاء في الكود الخاص به وفي سلوكه لتجنب اكتشافه بواسطة أدوات مكافحة الفيروسات أو التحليل.
  • واجهة WebView التي تحاكي تسجيل الدخول إلى Telegram: عندما يقوم المستخدم بإدخال بيانات اعتماده، فإنه لا يسهل الوصول إلى حساب المراسلة الخاص به فحسب، بل يمهد الطريق أيضًا لسرقة الهوية المحتملة وحتى الوصول إلى منصات أخرى إذا استخدم نفس كلمات المرور.
  • تجميع الأنشطة في الوقت الحقيقي: إن قدرتها على إرسال واستقبال البيانات بشكل مستمر تسمح للمهاجمين بتعديل استراتيجيتهم استنادًا إلى قيمة المعلومات المكتسبة وإجراءات المستخدم.
  • عدم وجود حماية ضد التنزيلات الخارجية: يستغل FireScam الاتجاه الشائع المتمثل في تثبيت التطبيقات خارج Google Play أو App Store، مستفيدًا من عدم وجود عناصر تحكم أمنية في هذه السيناريوهات.

نصائح مهمة للوقاية من الإصابة بـ FireScam

وعلى الرغم من مستوى تطور برنامج FireScam، فإن الوقاية تظل السلاح الأفضل ضد هذا النوع من التهديدات. يتفق خبراء الأمن السيبراني على سلسلة من التوصيات الأساسية ولكن الجوهرية:

  • لا تقم بتثبيت التطبيقات من مصادر غير رسمية: استخدم فقط متجر جوجل بلاي أو متجر التطبيقات أو المتاجر المعتمدة لتنزيل التطبيقات. غالبًا ما تكون الإصدارات المجانية "المميزة" من التطبيقات الشائعة طُعمًا مفضلًا لمجرمي الإنترنت.
  • كن حذرا من الروابط المشبوهة: تجنب النقر على الروابط التي تتلقاها عبر البريد الإلكتروني أو الرسائل النصية أو الرسائل الفورية إذا كنت غير متأكد من مصدرها، وخاصة تلك التي تعد بميزات أو تطبيقات حصرية تتطلب عادةً رسومًا.
  • التحقق من الأذونات المطلوبة من قبل التطبيقات: إذا كان التطبيق يتطلب أذونات أكثر مما يحتاج إليه بشكل معقول، فهذا سبب كافٍ للشك وعدم الاستمرار في التثبيت.
  • حافظ على تحديث نظام التشغيل والتطبيقات لديك: تم إصلاح العديد من الثغرات الأمنية بأحدث الإصدارات. فعّل التحديثات التلقائية كلما أمكن.
  • قم بتثبيت واستخدام برنامج مكافحة الفيروسات عالي الجودة: على الرغم من أن FireScam مصمم لتجاوز بعض محركات مكافحة البرامج الضارة، إلا أن برنامج مكافحة الفيروسات الجيد يمكنه عادةً اكتشاف السلوك غير الطبيعي ومنع العدوى قبل حدوث الضرر.
  • قم بتمكين المصادقة بخطوتين حيثما أمكن ذلك: على الرغم من أن FireScam يمكنه اعتراض الرسائل النصية القصيرة، فإن استخدام تطبيقات المصادقة التابعة لجهات خارجية يضيف طبقة إضافية من الحماية.
PlayPraetor، البرنامج الخبيث الذي يحاكي متجر Google Play
المادة ذات الصلة:
PlayPraetor: البرنامج الخبيث الذي ينتحل شخصية Google Play ويسرق البيانات

بالإضافة إلى ذلك، من المهم تعزيز الوعي بالأمن السيبراني بين جميع المستخدمين: إن مشاركة معلومات التهديدات المحدثة، وشرح مخاطر تنزيل التطبيقات من مصادر غير معروفة، وتثقيف الأشخاص حول إدارة كلمات المرور بشكل مسؤول، يمكن أن يساعد في تقليل فعالية هذه الحملات الضارة.

تطور الهجمات والتحديات المستقبلية

لا يعد FireScam حالة معزولة، بل هو جزء من اتجاه متزايد يستخدم فيه مجرمو الإنترنت الهندسة الاجتماعية وانتحال الشخصية وطبقات متعددة من الخداع لتعظيم فرص نجاحهم. إن الجمع بين التصيد الاحتيالي (مواقع الويب المستنسخة بعناية)، واستخدام منصات موثوقة مثل GitHub أو Firebase لاستضافة الملفات وإدارة نقل البيانات، والتكيف المستمر لتكتيكاتهم، يجعل احتواء هذه التهديدات صعبًا بشكل متزايد باستخدام التكنولوجيا وحدها.

وكأن ذلك لم يكن كافيا، يشير الخبراء إلى ظهور حملات موازية وإعادة استخدام التقنيات في أنواع أخرى من البرمجيات الخبيثة، مثل أحصنة طروادة المصرفية أو فيروسات التجسس التي تؤثر بشكل متزايد على مستخدمي الهواتف الذكية. إن النظام البيئي الرقمي ديناميكي للغاية، والتهديدات تتطور يوميا، لذا فإن اليقظة والحذر والتدريب أمر ضروري.

ما هو برنامج SparkCat الخبيث وكيف يعمل؟
المادة ذات الصلة:
SparkCat: برنامج ضار لسرقة العملات المشفرة يتسلل إلى التطبيقات الرسمية

يُظهر FireScam أن الهجمات على الأجهزة المحمولة أصبحت معقدة للغاية ومخصصة. أفضل حماية تكمن في الوقاية: البقاء على اطلاع دائم، وانتقاد الروابط والعروض التي تبدو جيدة جدًا لدرجة يصعب تصديقها، والتأكد من أن كل ما نُثبّته على أجهزتنا يأتي من مصادر موثوقة ومُوثوقة. التعاون والوعي الجماعي ضروريان للحد من تأثير محاولات الخداع المستقبلية، والحفاظ على بياناتنا الشخصية والمالية وبيانات العمل آمنة من متناول مجرمي الإنترنت. شارك المعلومات حتى يعرف المستخدمون الآخرون عن الموضوع.


رسائل Telegram
قد تهمك:
كيفية البحث عن مجموعات في Telegram
تابعونا على أخبار جوجل

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: مدونة Actualidad
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.