أصبحت هواتف أندرويد محور حياتنا الرقمية: الخدمات المصرفية، والعملات المشفرة، والعمل، ووسائل التواصل الاجتماعي... وللأسف، أيضاً... الهدف المفضل للمجرمين الإلكترونيينبينما لا يزال العديد من المستخدمين يعتقدون ذلك مع قم بتثبيت برنامج مكافحة الفيروسات. لقد انتهى كل شيء الآن، والحقيقة هي أن البرامج الضارة لنظام أندرويد قد حققت قفزة هائلة في التطور، وهي الآن تنافس وجهاً لوجه التهديدات التقليدية لأجهزة الكمبيوتر.
في الأشهر الأخيرة، ركزت العديد من مختبرات الأمن على ثلاث عائلات محددة للغاية: FvncBot وSeedSnatcher والنسخة المحسّنة من ClayRatهذه ليست مجرد برامج تجسس بسيطة تعرض إعلانات مزعجة فقط: نحن نتحدث عن برامج ضارة قادرة على التحكم عن بعد في هاتفك المحمول، وسرقة بيانات الاعتماد المصرفية، وتفريغ محافظ العملات المشفرة، وتسجيل ضغطات المفاتيح، أو حتى فتح الجهاز تلقائيًا، كل ذلك عن طريق استغلال خدمات إمكانية الوصول وتراكبات الشاشة التي يصعب اكتشافها بالعين المجردة.
يراقب خبراء الأمن السيبراني منذ فترة من الزمن التطور المتسارع للبرمجيات الخبيثة لنظام أندرويد، مع حملات لا تسعى فقط إلى إصابة مستخدمي المنازل، ولكن أيضًا موظفي الشركات والملفات الشخصية التي لديها إمكانية الوصول إلى المعلومات الحساسة أو الأموال الاقتصادية ذات الصلة.
وراء هذه التهديدات نجد كلا المجموعتين مع دافع مالي بحت باعتبارها جهات فاعلة متقدمة (APTs) ذات صلات محتملة بالدولة، خاصة في حالة برامج التجسس مثل ClayRat، الموجهة نحو التجسس بعيد المدى وسرقة البيانات وتتبع ضحايا محددين.
تعتمد أساليب اختراق أجهزة أندرويد بشكل كبير على الهندسة الاجتماعية وفي توزيع التطبيقات الخبيثة خارج متجر Google Playومع ذلك، يتم استغلال المتاجر الخارجية، ومواقع التصيد الاحتيالي التي تحاكي الخدمات الشائعة، وقنوات المراسلة مثل Telegram، حيث يتم مشاركة روابط ملفات APK المعدلة.
تستغل هذه البرامج الخبيثة الجديدة وظائف النظام المشروعة، وخاصةً خدمات إمكانية الوصول، وتراكبات الشاشة، وواجهة برمجة تطبيقات MediaProjection (تُستخدم لتسجيل الشاشة أو مشاركتها)، مما يحولها إلى أدوات تجسس و الاحتيال المالي فعال للغاية.
في هذا السياق، تبرز ثلاثة أسماء بقوة، وهي أسماء يتم ذكرها بالفعل بشكل متكرر في التقارير الفنية: FvncBot و SeedSnatcher و ClayRatكل واحد منهم يعمل بتكتيكاته الخاصة، لكنهم جميعًا يشتركون في نفس الهدف: سرقة أكبر قدر ممكن من المعلومات والحفاظ على السيطرة على الجهاز دون إثارة الشكوك.
مشهد تهديدات متنقلة متزايدة العدوانية
يراقب خبراء الأمن السيبراني منذ فترة من الزمن التطور المتسارع للبرمجيات الخبيثة لنظام أندرويد، مع حملات لا تسعى فقط إلى إصابة مستخدمي المنازل، ولكن أيضًا موظفي الشركات والملفات الشخصية التي لديها إمكانية الوصول إلى المعلومات الحساسة أو الأموال الاقتصادية ذات الصلة.
وراء هذه التهديدات نجد كلا المجموعتين مع دافع مالي بحت باعتبارها جهات فاعلة متقدمة (APTs) ذات صلات محتملة بالدولة، خاصة في حالة برامج التجسس مثل ClayRat، الموجهة نحو التجسس بعيد المدى وسرقة البيانات وتتبع ضحايا محددين.
تعتمد أساليب اختراق أجهزة أندرويد بشكل كبير على الهندسة الاجتماعية وفي توزيع التطبيقات الخبيثة خارج نطاق متجر جوجل بلاي، يتم استغلال متاجر الطرف الثالث، ومواقع التصيد الاحتيالي التي تحاكي الخدمات الشائعة، وقنوات المراسلة مثل تيليجرام، حيث يتم مشاركة روابط ملفات APK المعدلة.
تستغل هذه البرامج الخبيثة الجديدة وظائف النظام المشروعة، وخاصةً خدمات إمكانية الوصول، وتراكبات الشاشة، وواجهة برمجة تطبيقات MediaProjection (تستخدم لتسجيل الشاشة أو مشاركتها)، مما يحولها إلى أدوات فعالة للغاية للتجسس والاحتيال المالي.
في هذا السياق، تبرز ثلاثة أسماء بقوة، وهي أسماء يتم ذكرها بالفعل بشكل متكرر في التقارير الفنية: FvncBot و SeedSnatcher و ClayRatكل واحد منهم يعمل بتكتيكاته الخاصة، لكنهم جميعًا يشتركون في نفس الهدف: سرقة أكبر قدر ممكن من المعلومات والحفاظ على السيطرة على الجهاز دون إثارة الشكوك.
FvncBot: حصان طروادة مصرفي مزود بخاصية التحكم عن بعد من نوع VNC
حيلتهم الرئيسية هي التظاهر بأنهم تطبيق الأمان المرتبط ببنك mBankمؤسسة مالية بولندية معروفة. يعتقد المستخدم أنه يقوم بتثبيت تطبيق شرعي يعزز أمان خدماته المصرفية عبر الهاتف المحمول، بينما في الواقع يقوم بتثبيت برنامج تجسس قادر على تسجيل كل ما يفعله والتحكم عن بُعد في جهازه المحمول.
تبدأ عملية الإصابة من خلال تطبيق "التحميل" الذي يعمل كأداة تحميل. هذا التطبيق محمي بواسطة خدمة إخفاء وتشفير تُعرف باسم apk0day، مقدمة من Golden Cryptهذا يجعل تحليل الشفرة وتحديدها باستخدام حلول الأمان أمرًا صعبًا. عند فتح التطبيق، تظهر رسالة تحث المستخدم على تثبيت ما يُفترض أنه "مكون من متجر جوجل بلاي" لتحسين استقرار النظام أو حمايته.
في الواقع، هذا المكون هو نفسه حمولة خبيثة من FvncBotيستغل هذا البرنامج الخبيث نهجًا قائمًا على الجلسات للتحايل على قيود إمكانية الوصول التي تم إدخالها مع نظام التشغيل Android 13. وبالتالي، حتى في الإصدارات الحديثة من نظام التشغيل، يتمكن البرنامج الخبيث من تفعيل الأذونات التي يحتاجها لرؤية والتحكم في كل شيء تقريبًا على الجهاز.
بمجرد تشغيله، يطلب برنامج FvncBot من المستخدم منح الإذن أذونات خدمات الوصولإذا وافق الضحية، فإن حصان طروادة يكتسب نوعًا من "القوى الخارقة" داخل النظام: يمكنه قراءة ما يتم عرضه على الشاشة، واكتشاف التطبيقات المفتوحة، ومحاكاة ضغطات المفاتيح، وعرض النوافذ فوق التطبيقات الأخرى، أو تسجيل ضغطات المفاتيح بأشكال حساسة، مثل تسجيل الدخول إلى البنك.
أثناء نشاطها، ترسل البرامج الضارة الأحداث والسجلات إلى خادم بعيد مرتبط بالنطاق naleymilva.it.comاستخدم المشغلون هذه الأداة لمراقبة حالة كل جهاز مصاب. أظهرت العينات التي تم تحليلها مُعرّف إصدار "call_pl"، والذي يشير صراحةً إلى بولندا كدولة مستهدفة، وإصدارًا يحمل علامة "1.0-P"، مما يوحي بأن برنامج FvncBot لا يزال في المراحل الأولى من التطوير وقد يستمر في التطور.
بعد تسجيل الجهاز، يتواصل FvncBot مع بنية التحكم والقيادة الخاصة به باستخدام بروتوكول HTTP وخدمة Firebase Cloud Messaging (FCM)ومن خلال هذه القنوات، يتلقى النظام تعليمات في الوقت الفعلي ويمكنه تعديل سلوكه وفقًا لأوامر المهاجمين، وتفعيل أو تعطيل وحدات معينة اعتمادًا على نوع الضحية أو الحملة الجارية.
من بين الوظائف الموثقة في هذا الحصان الطروادي، تبرز عدة وظائف باعتبارها بالغة الأهمية، مثل القدرة على بدء أو إيقاف اتصالات WebSocket والتي تسمح بالتحكم عن بعد في الجهاز: يمكن للمهاجمين التمرير أو النقر أو التصفح أو فتح التطبيقات أو إدخال البيانات كما لو كانوا يحملون الهاتف في أيديهم.
بالإضافة إلى ذلك، يقوم FvncBot بالتسرب أحداث إمكانية الوصول، وقوائم التطبيقات المثبتة، ومعلومات الجهاز (النموذج، الإصدار، التكوين، إلخ)، بحيث يكون لدى المشغلين قائمة كاملة بالأهداف، ويعرفون تطبيقات الخدمات المصرفية أو العملات المشفرة الموجودة، ويمكنهم نشر طبقات خبيثة فقط على التطبيقات التي تهمهم حقًا.
فريق تروجان مستعد للعرض شاشات وهمية بملء الشاشةمن خلال محاكاة واجهات الخدمات المصرفية أو غيرها، يقوم هذا البرنامج الخبيث بالتقاط بيانات الاعتماد، وبيانات البطاقات، أو رموز التحقق لمرة واحدة. كما يمكنه إخفاء هذه الطبقات عند عدم الحاجة إليها، بحيث لا يلاحظ الضحية أي سلوك غير طبيعي، باستثناء وميض محتمل في الشاشة يُعزى عادةً إلى خلل بصري بسيط.
ومن الجوانب اللافتة الأخرى لبرنامج FvncBot استخدامه لـ واجهة برمجة تطبيقات MediaProjection لبث الشاشة في الوقت الفعليوهذا، بالإضافة إلى التحكم عن بعد عبر HVNC (الحوسبة الشبكية الافتراضية المخفية)، يسمح للمهاجمين برؤية ما يراه الضحية بالضبط وتشغيل تطبيق البنك بحرية تامة، حتى في التطبيقات التي تحاول حظر لقطات الشاشة باستخدام علامة FLAG_SECURE.
للتغلب على هذا القيد، يتضمن برنامج FvncBot "وضع نصي" يقوم بتحليل محتوى الواجهة حتى عندما يتعذر التقاط الصور بالطرق التقليديةوبالتالي، حتى لو منع تطبيق مصرفي أو تطبيق دفع لقطات الشاشة لأسباب أمنية، فإن حصان طروادة يتمكن من قراءة العناصر الموجودة على الشاشة بفضل خدمات إمكانية الوصول.
لا يوجد تأكيد رسمي بهذا الشأن في الوقت الحالي. ناقل التوزيع الرئيسيومع ذلك، واستنادًا إلى نمط برامج التجسس المصرفية المماثلة الأخرى، فمن المرجح جدًا أن تلجأ إلى حملات التصيد الاحتيالي عبر الرسائل النصية القصيرة، والروابط المرسلة عبر الرسائل، ومتاجر التطبيقات التابعة لجهات خارجية حيث يتم تحميل نسخ مزيفة من التطبيقات المعروفة أو أدوات الأمان المزعومة.
على الرغم من أن العينات الحالية تركز على المستخدمين البولنديين وكيان محدد، إلا أن المحللين يقدرون أن إنها مسألة وقت فقط قبل أن يتكيف برنامج FvncBot مع البلدان والبنوك الأخرى.يُعد تغيير اللغة والشعارات وقوالب التراكب أمرًا سهلاً نسبيًا.
SeedSnatcher: أداة البحث عن عبارات المصادقة الثنائية ورموز التحقق من الهوية
إذا كان الهدف الرئيسي لبرنامج FvncBot هو الحسابات المصرفية التقليدية، يستهدف برنامج SeedSnatcher بشكل كامل النظام البيئي للعملات المشفرةتم تصميم عائلة البرامج الضارة هذه لنظام Android خصيصًا لسرقة عبارات استعادة المحفظة والمفاتيح الخاصة، وبشكل عام، أي معلومات تسمح لها بالسيطرة على محافظ العملات المشفرة.
يتم توزيع برنامج SeedSnatcher بشكل أساسي من خلال تيليجرام وقنوات التواصل الاجتماعي الأخرىيستخدم المهاجمون اسم "Coin" للتخفي تحت ستار تطبيق استثماري، أو أداة لإدارة العملات المشفرة، أو عرض ترويجي حصري. وغالبًا ما ينشرون روابط إلى ملفات APK يُفترض أنها شرعية، والاستفادة من المجموعات العامة أو الخاصة المتعلقة بالتداول أو الرموز غير القابلة للاستبدال أو أخبار البلوك تشين.
بمجرد تثبيته، لا يُظهر التطبيق الخبيث أي سلوك ملحوظ في البداية. في الواقع، إحدى سماته الرئيسية هي أن لا يتطلب الأمر سوى عدد قليل من تصاريح الدخول.، عادةً ما يكون الوصول إلى الرسائل النصية القصيرة أو الوظائف الأساسية، وذلك لتجنب إثارة الشكوك أو إطلاق التنبيهات في حلول الأمان التي تركز على طلبات الأذونات المفرطة.
لكن في الخفاء، يبدأ برنامج SeedSnatcher بنشر ترسانته، مستفيدًا من تقنيات متقدمة مثل... تحميل الفئات الديناميكي وحقن المحتوى الخفي في WebViewيمكن للتطبيق تحديث الوظائف من خادم التحكم والسيطرة، أو تعديله أثناء التشغيل، أو تفعيل الوحدات فقط عندما يفتح الضحية تطبيقات معينة متعلقة بالعملات المشفرة.
إحدى أخطر الوظائف هي القدرة على إظهار طبقات تصيد احتيالي مقنعة للغاية تُحاكي هذه الاحتيالات مظهر تطبيقات المحافظ الإلكترونية المعروفة، أو منصات التداول، أو شاشات استعادة الحسابات. يعتقد المستخدم أنه يُدخل عبارة الاسترداد لاستعادة محفظته أو التحقق من هويته، لكنه في الواقع يُسلّم زمام جميع أمواله للمهاجم.
بالإضافة إلى عبارات البذور، يقوم برنامج SeedSnatcher باعتراض رسائل SMS الواردة لالتقاط رموز المصادقة الثنائية (2FA)يفتح هذا الباب أمام اختطاف الحسابات على خدمات الصرف أو منصات التداول التي تعتمد على الرسائل النصية القصيرة كعامل ثانٍ.
لا تقتصر البرامج الضارة على عالم العملات المشفرة: بل هي مُجهزة أيضاً لـ استخراج البيانات من الجهازبما في ذلك جهات الاتصال وسجلات المكالمات والملفات المخزنة على الهاتف المحمول وغيرها من المعلومات التي قد تكون مفيدة لحملات الاحتيال المستقبلية أو للبيع في الأسواق السوداء.
تشير التحقيقات المنسوبة إلى شركة CYFIRMA إلى أن مشغلي برنامج SeedSnatcher قد يكونون مجموعات مقرها في الصين أو تتحدث الصينية، بناءً على التعليمات الموجودة بتلك اللغة في لوحات التحكم وقنوات التوزيع المرتبطة بالبرامج الضارة.
تتبع عملية تصعيد الامتيازات في SeedSnatcher نمطًا محسوبًا للغاية: فهي تبدأ بأذونات دنيا، ثم تطلب المزيد لاحقًا. الوصول إلى مدير الملفات، والطبقات، وجهات الاتصال، وسجلات المكالمات، والموارد الأخرىيساعد هذا السلوك المتدرج على تجاوز حلول الأمان القائمة على الاستدلال والتي يتم تفعيلها من خلال طلبات أذونات ضخمة منذ التشغيل الأول.
إن الجمع بين الخداع البصري، وسرقة الرسائل النصية القصيرة، ومراقبة الحافظة، وتسريب البيانات الصامت يجعل من SeedSnatcher يمثل هذا تهديدًا خطيرًا لأي مستخدم يتعامل مع العملات المشفرة من جهازه المحمول.خاصة إذا كنت تستخدم محافظ غير احتجازية تعتمد على عبارات الاسترداد.
كلاي رات: برنامج تجسس معياري يتمتع بالتحكم الكامل تقريبًا في الجهاز
تبرز النسخة الأحدث التي تم رصدها لإساءة استخدامها بشكل أكبر لـ خدمات إمكانية الوصول وأذونات الرسائل النصية القصيرة الافتراضيةبفضل ذلك، يستطيع برنامج ClayRat تسجيل ضغطات المفاتيح، وقراءة الإشعارات الواردة على الجهاز، ومراقبة التطبيقات الحساسة، وتسجيل كل من الشاشة والصوت، مما يحول الهاتف المحمول إلى أداة مراقبة حقيقية.
تم تصميم هذا البرنامج الخبيث لعرض طبقات تحاكي تحديثات النظام أو الشاشات السوداء أو فترات الصيانةتُستخدم هذه الأساليب لإخفاء الأنشطة الخبيثة بينما يتلاعب المهاجمون بالجهاز في الخلفية. فعندما يرى المستخدمون شاشة "تحديث النظام" أو ما شابهها، يميلون إلى الانتظار دون القيام بأي شيء، مما يمنح مجرمي الإنترنت متسعًا من الوقت للعمل.
ومن السمات الأخرى المثيرة للقلق بشكل خاص قدرة كلاي رات على فتح الجهاز تلقائيًاسواء كنت تستخدم رقم تعريف شخصي أو كلمة مرور أو نمطًا، فإن هذا، بالإضافة إلى تسجيل الشاشة وتسجيل ضغطات المفاتيح، يوفر تحكمًا كاملاً في الجهاز المحمول دون أن يضطر المستخدم إلى إعادة إدخال بيانات اعتماده بشكل متكرر.
في الحملات الأخيرة، انتشر كلاي رات عبر ما لا يقل عن 25 مواقع التصيد الاحتيالي التي تحاكي خدمات شرعية مثل يوتيوبيروج التطبيق لإصدار "احترافي" مزعوم يدعم تشغيل الفيديو في الخلفية وتقنية 4K HDR. يقوم المستخدمون بتنزيل التطبيق ظنًا منهم أنه إصدار مميز، ويقومون بتثبيت برامج تجسس دون علمهم.
كما تم العثور عليها تطبيقات تنزيل التطبيقات التي تنتحل صفة تطبيقات سيارات الأجرة ومواقف السيارات في مناطق مثل روسيا. تعمل هذه التطبيقات المزيفة كوسائل تثبيت لبرنامج ClayRat، على غرار النموذج الذي يستخدمه برنامج FvncBot، حيث يقوم تطبيق يبدو غير ضار بتنزيل أو تفعيل المكون الخبيث الفعلي.
يمكن للبرامج الضارة أن تولد إشعارات وهمية وتفاعلية والتي تبدو وكأنها تأتي من النظام أو التطبيقات المشروعة، وذلك لجمع ردود من المستخدم (على سبيل المثال، الرموز أو تأكيدات العمليات أو الأذونات الإضافية) دون أن يدرك المستخدم أنه يتفاعل مع واجهة يتحكم بها المهاجم.
بالمقارنة مع الإصدارات السابقة، فإن النسخة الجديدة من ClayRat يصعب إزالتها بشكل كبير: آليات استمراريتها و القدرة على إخفاء نشاطك من خلال الطبقات وقفل الشاشة فهي تجعل لدى المستخدم فرصًا أقل لإلغاء تثبيت التطبيق أو إيقاف تشغيل الجهاز في الوقت المناسب.
هذه الخصائص، بالإضافة إلى الشكوك في أنها قد تكون مرتبطة بمجموعات APT ذات إمكانية الحصول على رعاية حكوميةوهذا يجعل ClayRat أحد أخطر أدوات برامج التجسس على الهواتف المحمولة اليوم، خاصة في بيئات الشركات التي تطبق سياسات BYOD (إحضار جهازك الخاص)، حيث يستخدم الموظفون هواتفهم المحمولة الشخصية للوصول إلى الأنظمة الداخلية.
التقنيات الشائعة: إمكانية الوصول، والتراكبات، والتهرب المتقدم
على الرغم من اختلاف أهداف FvncBot وSeedSnatcher وClayRat (الخدمات المصرفية التقليدية، أو العملات المشفرة، أو التجسس المتقدم)، إلا أنها تشترك في مجموعة من التكتيكات والتقنيات الرئيسية وهذا يفسر سبب تحقيقهم لهذا النجاح الكبير في الحملات الحقيقية.
أولا، إساءة استخدام خدمات إمكانية الوصول في نظام أندرويد أصبحت هذه الخاصية حجر الزاوية في البرمجيات الخبيثة الحديثة. هذه الوظيفة، التي صُممت في الأصل لمساعدة ذوي الإعاقة على التفاعل مع الجهاز، تسمح بقراءة محتوى واجهة المستخدم، واكتشاف تغييرات الشاشة، وأتمتة الإجراءات، وهو أمر مفيد للغاية... سواءً من ناحية سهولة الاستخدام أو من ناحية الجرائم الإلكترونية.
ومن العناصر المشتركة الأخرى الاستخدام المكثف لـ تراكبات لانتحال شخصية التطبيقات الشرعيةمن خلال وضع شاشة مزيفة فوق تطبيق حقيقي - سواء كان بنكًا أو محفظة عملات مشفرة أو خدمة شائعة - يمكن للمهاجمين التقاط بيانات الاعتماد والبيانات الشخصية وأي معلومات يدخلها المستخدم، دون الحاجة إلى اختراق التطبيق المستهدف بشكل مباشر.
علاوة على ذلك، تدمج هذه البرامج الخبيثة تقنيات التهرب المتقدمة لتعقيد تحليلها وكشفها؛ تعلم كيف قم بفحص البرامج الضارة باستخدام Google Play Protect: إخفاء التعليمات البرمجية، وخدمات التشفير الخارجية مثل apk0day، والتحميل الديناميكي للفئات التي يتم تنزيلها من خادم الأوامر والتحكم فقط عند الحاجة، وحتى تعليمات الأوامر القائمة على الأعداد الصحيحة لجعل حركة المرور تبدو أقل وضوحًا.
كما أصبح التواصل مع خوادم المهاجمين أكثر تعقيداً. خدمة Firebase Cloud Messaging لتلقي الطلباتيؤدي إنشاء اتصالات WebSocket للتحكم في الوقت الحقيقي والتسريب السري للبيانات عبر HTTP أو HTTPS إلى اندماج حركة المرور الضارة مع حركة المرور المشروعة، مما يجعل من الصعب تحديدها على الشبكات المؤسسية أو المنزلية.
كل هذا بالإضافة إلى عمل متقن للغاية في الهندسة الاجتماعيةتتنكر هذه التطبيقات في هيئة مكونات من متجر جوجل بلاي، أو تطبيقات أمنية، أو أدوات مصرفية رسمية، أو نسخ "احترافية" من منصات شهيرة مثل يوتيوب، أو خدمات مطلوبة كسيارات الأجرة ومواقف السيارات. والهدف هو خداع المستخدم وإقناعه بمنح أذونات حساسة دون تردد.
كيفية حماية جهازك الذي يعمل بنظام Android من برامج FvncBot وSeedSnatcher وClayRat الخبيثة
لا يوجد إجراء مضمون النتائج، لكن تطبيق الممارسات الجيدة الأساسية يقلل بشكل كبير من احتمالية الوقوع ضحية لحملات مثل تلك التي تقوم بها... FvncBot أو SeedSnatcher أو ClayRatتعتمد العديد من الهجمات على إهمال المستخدمين والأجهزة سيئة التكوين.
القاعدة الأولى واضحة ولكنها تبقى الأكثر فعالية: قم بتثبيت التطبيقات من مصادر موثوقة فقط.، مثل متجر جوجل بلاي أو المواقع الإلكترونية الرسمية لمزودي الخدمة، و راجع قوائم التطبيقات الخطيرةيُعد تنزيل ملفات APK من الروابط الموجودة على المنتديات أو قنوات Telegram أو الصفحات التي تعد بإصدارات مجانية من التطبيقات المدفوعة، في الوقت الحاضر، أحد أهم نقاط الدخول للبرامج الضارة على الهواتف المحمولة.
وهو أمر ضروري أيضاً احرص على تحديث نظام التشغيل والتطبيقات الخاصة بك باستمرارتقوم جوجل والشركات المصنعة بشكل متكرر بإصدار تحديثات لإصلاح الثغرات الأمنية، وتعتمد العديد من برامج التجسس على عيوب معروفة يمكن تجنبها ببساطة عن طريق تثبيت أحدث الإصدارات المتاحة.
تُعد إدارة كلمات المرور والمصادقة نقطة بالغة الأهمية. استخدم مفاتيح قوية وفريدة لكل خدمة، وتتيح المصادقة بخطوتين (2FA). في مجال الخدمات المصرفية والبريد الإلكتروني والشبكات الاجتماعية ومنصات العملات المشفرة، يضيف ذلك طبقة إضافية من الحماية، على الرغم من أن بعض البرامج الضارة، كما رأينا، تحاول أيضًا سرقة رموز التحقق الثنائي عبر الرسائل النصية القصيرة.
يُنصح باختيار أساليب مصادقة ثنائية أكثر قوة، مثل تطبيقات المصادقة أو مفاتيح الأمان المادية، بدلاً من الرسائل النصية القصيرة التقليدية، والتي يسهل اعتراضها بواسطة البرامج الضارة مثل SeedSnatcher.
ومن النصائح المهمة الأخرى مراجعة... الأذونات المطلوبة من قبل التطبيقاتإذا طلب منك تطبيقٌ يُفترض أنه يسمح لك بمشاهدة الفيديوهات، أو التحقق من حالة الطقس، أو إدارة مواقف السيارات، الوصول الكامل إلى الرسائل النصية القصيرة، أو خدمات تسهيل الوصول، أو جهات الاتصال، أو إدارة الجهاز، فكن حذرًا. تعتمد العديد من الهجمات على نقر المستخدمين على زر "موافق" دون قراءة الشروط.
في بيئة الشركات، ينبغي على المنظمات تطبيق سياسات إدارة الأجهزة المحمولة (MDM)قلّل من تثبيت التطبيقات غير المصرح بها، وقم بإجراء عمليات تدقيق دورية لرصد أي سلوك مشبوه. إضافةً إلى ذلك، من الضروري تدريب الموظفين على التعرّف على محاولات التصيّد الاحتيالي، سواءً عبر الرسائل النصية القصيرة أو البريد الإلكتروني أو الرسائل الفورية.
بالنسبة للمستخدمين المتقدمين، قد يكون من المفيد الجمع بين الإجراءات المذكورة أعلاه مع حلول أمنية مخصصة للأجهزة المحمولة تقوم هذه الأدوات بتحليل سلوك التطبيقات، والكشف عن انتهاكات إمكانية الوصول، والتحقق المستمر من سلامة الجهاز. مع ذلك، لا يمكن لأي أداة تقنية أن تحل محل الحس السليم عند تثبيت التطبيقات واستخدامها.
على الصعيد الشخصي، يُنصح بتبني عادات معينة: احذر من الروابط غير المتوقعة، وتحقق من عناوين المواقع الإلكترونية التي تطلب بيانات الاعتماد.تجنب إدخال عبارات الاسترداد أو تفاصيل الحساب المصرفي على الشاشات التي تظهر بعد تثبيت التطبيقات غير المعروفة، وإذا كنت في شك، فاتصل بالكيان أو الخدمة مباشرة من خلال القنوات الرسمية.
يُظهر ظهور FvncBot وSeedSnatcher وClayRat المُجدد أن انتقلت جبهة القتال إلى الهواتف المحمولة. بنفس الكثافة أو حتى أكثر مما هو عليه الحال على جهاز كمبيوتر مكتبي. إن الجمع بين إساءة استخدام إمكانية الوصول، والطبقات المتطورة، والتحكم عن بُعد عبر بروتوكول VNC، وأساليب التهرب المتقدمة، يعني أن أي إهمال قد يؤدي إلى سرقة الأموال، أو إفراغ المحفظة، أو كشف الحياة الرقمية بالكامل. لذا، أصبح إدراك أن الهاتف هدف ذو أولوية، والتصرف وفقًا لذلك - من خلال توخي الحذر بشأن ما نثبته، والأذونات التي نمنحها، وكيفية إدارة حساباتنا - عنصرًا أساسيًا في الأمن اليومي.
