Crocodilus يوسّع نطاق هجماته الإلكترونية ويهدد أمن مستخدمي أندرويد حول العالم

أندرويد

ياسين عبد العزيز

A A

يشهد مشهد الأمن السيبراني تطورًا مقلقًا بعد رصد انتشار واسع للبرمجية الخبيثة Crocodilus، التي بدأت باستهداف مستخدمي أندرويد في عدد من الدول الأوروبية، ثم توسعت لتشمل مناطق جديدة في أمريكا الجنوبية وآسيا، وصولًا إلى الولايات المتحدة.

وكشفت شركة ThreatFabric الهولندية للأمن السيبراني عن تفاصيل دقيقة حول التهديد، مؤكدة أن هذا النوع من الهجمات أصبح أكثر تطورًا من حيث الأساليب والأدوات، ما يصعّب على المستخدمين والمختصين اكتشافه أو الحد من أضراره.

تقنيات خفية

أوضحت ThreatFabric أن Crocodilus يستخدم تقنيات إخفاء وتحايل معقدة تجعله غير مرئي تقريبًا للبرمجيات الأمنية التقليدية، من أبرز ميزاته الجديدة القدرة على إدخال جهات اتصال مزيفة داخل جهاز الضحية.

الهدف من هذه الميزة هو تجاوز أنظمة الحماية الحديثة في نظام أندرويد، والتي ترصد محاولات مشاركة الشاشة مع أطراف غير معروفة.

ويستغل هذا البرنامج أساليب الهندسة الاجتماعية لخلق انطباع بالثقة لدى الضحية، عبر إنشاء جهة اتصال باسم “Bank Support” أو “Customer Agent”، ثم الاتصال أو إرسال رسائل أثناء جلسة دعم مزيفة، ما يُسهل على المهاجم اختراق الجهاز دون أن يُثير الشك.

هجمات تراكبية

أحد أساليب Crocodilus الرئيسية هو تنفيذ هجمات تراكبية، عبر عرض شاشة زائفة فوق التطبيقات المالية مثل تطبيقات البنوك أو المحافظ الرقمية.

تظهر هذه الشاشات بشكل مطابق للتطبيق الأصلي، وتطلب من المستخدم إدخال بيانات الدخول أو عبارات الاسترداد الخاصة بالمحافظ، مما يمنح المهاجم تحكمًا كاملًا بالحسابات المالية أو العملات الرقمية.

وقد رُصدت حالات انتحال لتطبيقات شهيرة مثل Google Chrome، واستخدامها كواجهة مزيفة لتثبيت البرنامج الخبيث، عند التشغيل، يبدأ التروجان عمله في الخلفية دون أي مؤشرات واضحة للمستخدم.

إعلانات مزيفة

تُظهر البيانات أن Crocodilus لا يعتمد فقط على الملفات المرفقة أو التطبيقات المشبوهة، بل يستخدم حملات تسويق مزيفة على منصات التواصل الاجتماعي، تحديدًا فيسبوك، تقوم هذه الحملات بانتحال هوية بنوك أو متاجر رقمية، وتعرض مكافآت أو نقاط ولاء مقابل تحميل تطبيق معين.

بمجرد تحميل التطبيق، يتضح أنه ليس سوى إصدار معدل يحتوي على برمجيات ضارة،بعض الحالات وثّقت استخدام التطبيق على هيئة تحديث لمتصفح الإنترنت أو لعبة كازينو إلكترونية، مما يرفع من احتمالية تحميله من قبل المستخدم دون تدقيق.

أهداف عالمية

شمل انتشار Crocodilus دولًا جديدة مثل الأرجنتين، البرازيل، بولندا، الهند، إندونيسيا، والولايات المتحدة، بعد أن اقتصر ظهوره الأول في مارس 2025 على تركيا وإسبانيا، هذا التوسع الجغرافي يشير إلى وجود مجموعات منظمة تدير الحملة عبر عدة لغات وأساليب مختلفة، مما يعزز خطورته ويزيد من صعوبة مكافحته.

وتفيد تحليلات ThreatFabric بأن البنية التقنية للبرنامج الخبيث تطورت سريعًا خلال الأشهر القليلة الماضية، حيث بات يستخدم أدوات تحليل ذكي لجمع بيانات حساسة تلقائيًا مثل المفاتيح الخاصة وعبارات الاسترداد، دون تدخل مباشر من المستخدم.

تهديد فعلي

اختُتم التقرير بتحذير واضح بأن Crocodilus لا يُعد تهديدًا محليًا محدودًا، بل أصبح تهديدًا عالميًا حقيقيًا يستهدف الحسابات المصرفية الرقمية والعملات المشفرة على نطاق واسع.

وأوصت الشركة المستخدمين بعدم تحميل أي تطبيق خارج المتاجر الرسمية، وتفعيل ميزات الحماية المتقدمة، مثل إشعارات مشاركة الشاشة، والمصادقة الثنائية على التطبيقات المالية.

تطوّر Crocodilus بهذا الشكل خلال فترة قصيرة يعكس قدرة الجهات المهاجمة على تجاوز أنظمة الحماية التقليدية بسهولة، ما يتطلب وعيًا رقميًا مستمرًا من جميع المستخدمين، وتحديثًا دائمًا لتقنيات الكشف لدى الشركات.