تستهدف مجموعة جديدة من برامج فيروسات أحصنة طروادة الخبيثة للهواتف التي تعمل بنظام أندرويد المستخدمين العالميين لأفضل تطبيقات العملات المشفرة مثل كوين بيز وبيتباي وبيتكوين واليت، بالإضافة إلى البنوك بما في ذلك جي بي موغان وويلز فارغو وبنك أوف أمريكا. وقد تم الإبلاغ عن الأخبار بواسطة منفذ أخبار التكنولوجيا “ذا نكست ويب” يوم ٢٨ مارس.
واستنادًا إلى الأبحاث التي أجرتها شركة Group-IB الرائدة في تحليلات الجرائم الإلكترونية، يُقال إن هذه هي المرة الأولى التي يتم فيها الإبلاغ عن فيروس طروادة التي يطلق عليها الآن اسم “غوستوف” أو تحليله. ويوصف البرنامج الضار بأنه مصمم للتأثير بشكل جماعي وينتشر عن طريق الرسائل النصية القصيرة مع روابط لتحميل ملفات مجموعة حزم أندرويد الضارة.
كما يقال إن منشئو البرمجيات الخبيثة قد أنشأوا “أنظمة نقل أوتوماتيكية” تهدف إلى تسريع وتوسيع نطاق السرقات من خلال إطلاق عمليات تعبئة تلقائية لحقول الدفع لتطبيقات أندرويد الشرعية لإعادة توجيه عمليات النقل الخبيثة إلى المخترقين.
ويُزعم أن التطبيق يصدر مجموعة من “تطبيقات الويب المزيفة” التي تحاكي التطبيقات الشرعية للاحتيال من أجل الحصول على بيانات حساسة من المستخدمين – تستهدف العملاء على وجه التحديد لما يصل إلى ٣٢ تطبيق عملات مشفرة مختلف. كذلك كانت الإشعارات المباشرة التي تستخدم الرموز الشرعية هي أداة أخرى استخدمتها البرامج الضارة لأتمتة عمليات تنزيل التطبيقات المزيفة والتشغيل التلقائي للصفقات.
وذُكر أن Group IB قد حددت ٢٧ تطبيقًا مزيفًا متعلقًا بالعملات المشفرة والبنوك مخصصة للولايات المتحدة، و١٦ لبولندا، و١٠ لأستراليا، وتسعة لألمانيا، وتسعة للهند. كما تستهدف البرامج الضارة أيضًا أنظمة الدفع وخدمات المراسلة مثل باي بال وريفولت وويسترن يونيون وإيباي وولمارت وسكايب وواتساب.
ومن أجل العمل، يُقال إن غوستوف يستغل ميزات إمكانية الوصول إلى أندرويد المصممة للمستخدمين ذوي الاحتياجات الخاصة، مع وصف Group IB ذلك بأنه خدعة فعالة ونادرة نسبيًا:
“إن استخدام آلية إمكانية الوصول يعني أن الفيروس قادرًا على تجاوز […] التغييرات في سياسة أمان غوغل المقدمة في الإصدارات الجديدة من نظام التشغيل أندرويد. علاوة على ذلك، يعرف غوستوف كيفية إيقاف تشغيل غوغل بروتكت؛ وفقًا لمطور الفيروس، فإن هذه الميزة تعمل في ٧٠ بالمئة من الحالات”.
وتشير Group IB إلى أن غوستوف قد تم تصميمه من قبل مجرمي إنترنت ناطقين باللغة الروسية الملقبين “Bestoffer”، وذلك بعد تتبعها له لأول مرة إلى منتديات المخترقين من أبريل ٢٠١٨، ولكن الفيروس يستهدف عملاء الشركات الدولية بشكل أساسي خارج روسيا.
وأخيرًا تنصح Group IB مستخدمي أندرويد بتنزيل التطبيقات بدقة من متجر غوغل بلاي وإيلاء الاهتمام لملحقات الملفات التي تم تنزيلها.