حذر فريق من الباحثين من برمجية خبيثة تسمى Gold Pickaxe (معول الذهب) تستهدف السطو على الحسابات البنكية لمستخدمي هواتف آيفون وأندرويد على حد سواء.
وكان عدد من التايلانديين استقبلوا، في نوفمبر، رسائل من أشخاص يزعمون أنهم من وزارة المالية في تايلندا عبر تطبيق التراسل Line، لتسهيل حصولهم على استحقاقات معاش التقاعد الخاصة بأقاربهم، مع دعوة إلى تحميل تطبيق لاستكمال الإجراءات، التي تتطلب بصمة الوجوه ومستندات شخصية، مع منح المتصلين حق إدارة هواتفهم لتيسير الإجراءات.
ذلك بأيام، اكتشف الضحايا سرقة آلاف الدولارات من حساباتهم البنكية.
ومؤخراً، انطلقت موجة جديدة من هجمات الاحتيال الإلكتروني بدأتها مجموعة مخترقين من متحدثي الصينية، تُعرف باسم "مصنع الذهب Gold Factory"، باستخدام البرمجية ذاتها.
وتعتبر "معول الذهب" أول برمجية خبيثة في العالم تستهدف سرقة بصمة وجه المستخدم، إلى جانب دمجها لقدرات مختلفة على جمع البيانات من هاتف الضحية، إذ أنها تسرق ملفات شخصية، وتعترض الرسائل النصية SMS، بحيث يكون لدى فريق الاختراق جميع البيانات المطلوبة لانتحال صفة الضحية؛ والنفاذ إلى التطبيقات البنكية والمحافظ الرقمية.
هجوم موجه
وكشف تقرير لباحثي شركة Group-IB لأمن المعلومات عن بدء فريق "مصنع الذهب" في استخدام برمجيته الخبيثة الفريدة من نوعها ضد مستخدمي هواتف آيفون في تايلندا، وهواتف أندرويد في فيتنام.
وكانت بداية الانتشار في نوفمبر، بعد 3 أشهر فقط من بدء تطبيق سياسة أمنية جديدة على مستوى التطبيقات البنكية في تايلندا، والتي تطلبت من مطوري التطبيقات تغيير أسلوب تأكيد الهوية من كود OTP للاستخدام الواحد، إلى استخدام بصمة وجه المستخدم.
واستخدم فريق المخترقين مجموعة أساليب لتنفيذ هجومهم، مع وجود مرونة للتبديل بين تلك الأساليب لضمان نجاح الهجوم، ففي البداية استغل الفريق خدمة Test Flight على هواتف آيفون، والتي تسمح بطرح نسخة تجريبية من تطبيق جديد، قبل طرحه بشكل رسمي وكامل على متجر "آب ستور".
لذلك، مع هذا الأسلوب كان يتوجب على الفريق أن يتواصل بشكل مباشر مع الضحية، لإقناعه بتثبيت التطبيق الخبيث على هاتفه بكامل موافقته، لأن ذلك كان يشكل بداية الهجوم.
الخطوة الثانية كانت تعتمد على حصول المخترق على حق إدارة هاتف الضحية عن بعد، بحيث يستطيع الوصول لمختلف الملفات على الهاتف، وكذلك اعتراض رسائل SMS.
التزييف العميق
بعد إقناع المخترق للضحية بالمرور في خطوات تأكيد هويته على التطبيق المزيف، عبر مسح بصمة وجهه وتقديم المستندات الشخصية، كان فريق الاختراق يستخدم برنامجاً لإنشاء نسخة ثلاثية الأبعاد لوجه الضحية.
والآن يصبح الوقت مناسباً لتحميل المخترق التطبيق البنكي الذي يستخدمه الضحية للوصول لحساباته البنكية، ويطلب من التطبيق إعادة تعيين كلمات المرور بسهولة، من خلال استخدام بصمة وجه الضحية ومستنداته لتأكيد الهوية والاستحواذ على حق إدارة الحسابات والتحكم فيها.
وأوضح تقرير باحثو "جروب آي بي" أن فريق "جولد فاكتوري" لديه من الإمكانيات والمعرفة والأدوات التقنية والموارد البشرية ما يمكنه من تطوير أساليبه للاختراق بشكل سريع، تتناسب مع معطيات الأسواق التي يستهدف المستخدمين خلالها.
وأشار الباحثون إلى أن فريق الاختراق يستخدم أساليب متنوعة بين انتحال الصفة، والتنصت على لوحات مفاتيح هواتف الضحايا، وإطلاق تطبيقات ومواقع بنكية مزيفة، وأخيراً سرقة بيانات وجوه المستخدمين.
الوضع أسوأ على أندرويد
وفي الوقت الذي كان الهجوم على هواتف آيفون متركزاً في تايلندا، أصيب بعض مستخدمي أندرويد في فيتنام بالبرمجية الخبيثة، لكن مع تأثير أسوأ.
وأرجع الباحثون تعاظم تأثير هجمات فريق "جولد فاكتوري" على أندرويد إلى ضعف الإعدادات الأمنية مقارنة بآيفون، حيث أن إصدار البرمجية الخبيثة التي تستهدف هواتف أندرويد كان يتمتع بقدرات أكبر من إصدارها الموجه لآيفون.
كما كانت مهمة فريق المخترقين للنفاذ إلى داخل هواتف أندرويد أسهل من آيفون، وذلك نتيجة سهولة توجيه مستخدمي أندرويد لتحميل تطبيقات من خارج متجر جوجل "بلاي ستور" الرسمي، فقد تسللت البرمجية لهواتف أندرويد عبر إصدارات مزيفة لأكثر من 20 تطبيقاً من تطبيقات المؤسسات الحكومية والبنكية