تهديد خطير يجتاح أندرويد.. برنامج خبيث قادر على قراءة الملفات المشفّرة وسرقة الأموال بسهولة

تشهد منظومة أندرويد الأمنية تحديًا جديدًا وغير مسبوق، بعدما اكتشف باحثون في شركة MTI Security برنامجًا خبيثًا قادرًا على تجاوز أكثر طبقات الحماية تعقيدًا دون الحاجة لاختراق التشفير نفسه، وهو ما يجعله مختلفًا جذريًا عن البرمجيات الضارة التقليدية. 

ويحمل البرنامج اسم Sturnus، ويصنف كحصان طروادة قادر على قراءة محتوى التطبيقات المشفّرة مباشرةً عبر الوصول إلى ما يظهر على الشاشة، ما يجعله قادرًا على مراقبة التطبيقات المصرفية والعملات الرقمية والمراسلات الخاصة على واتساب وتليغرام وسيجنال، دون اكتشاف وجوده بسهولة.

ووفق ما أكده الباحثون، فإن الخطر لا يكمن في قدرة البرنامج على فك تشفير البيانات، بل في قدرته على الحصول على صلاحيات واسعة تسمح له بمراقبة محتوى الشاشة كاملًا، وتسجيل ما يعرضه الهاتف لحظة بلحظة، في آلية تشبه تسجيل الشاشة أكثر مما تشبه هجمات الاختراق التقليدية. 

ويظهر هذا الأسلوب المتطور كيف انتقلت البرمجيات الخبيثة إلى مرحلة جديدة تتجاوز القيود الأمنية القائمة، مستفيدة من منح الأذونات بشكل عشوائي أو تحميل تطبيقات APK غير موثوقة.

أسلوب مراوغة

واحدة من أخطر قدرات Sturnus تتمثل في توليد طبقات HTML مزيّفة تحاكي واجهات التطبيقات المصرفية الحقيقية، مما يتيح للمهاجمين إنشاء شاشات تسجيل دخول مزيفة يصعب تمييزها. 

وعند إدخال المستخدم بياناته، تنتقل المعلومات مباشرة إلى الخادم المسيطر عليه من قِبل المهاجمين، ما يمنحهم وصولًا كاملًا للحسابات المالية، ويفتح أمامهم الباب لتنفيذ تحويلات أو سرقة الأرصدة دون علم صاحب الجهاز.

كما يمتلك البرنامج قدرة إضافية على التعامل مع شاشات تحديث أندرويد المزيّفة، وهي تقنية متقدمة تهدف إلى إخفاء الأنشطة الضارة في الخلفية تحت ستار تحديث نظامي طبيعي.

انتشار مقلق

وتشير وكالة ThreatFabric إلى رصد Sturnus في عدة دول أوروبية، رغم أنه لا يزال — حسب وصف المحللين — غير مكتمل التطوير، ويعتمد على “خليط فوضوي” من النصوص العادية وتنسيقات التشفير RSA وAES، وهو ما يعكس البنية غير المنتظمة التي استوحت منها التسمية نسبةً إلى طائر الزرزور المعروف بنمط تغريده غير المتناسق. 

ويُرجح الخبراء أن النسخ المستقبلية من البرنامج ستكون أكثر تطورًا، خاصة أن طريقة عمله تمنحه قدرة واسعة على تجاوز أنظمة الحماية التقليدية، بما في ذلك تلك المستخدمة داخل التطبيقات المصرفية المعتمدة على التشفير الطرفي المتقدم.

حماية ضرورية

ورغم أن Google Play Protect بدأ بالفعل في رصد البرنامج وحظره، إلا أن الخبراء يحذرون من أن الاعتماد على الدفاعات التلقائية فقط لا يكفي، خصوصًا مع قدرة Sturnus على التسلل عبر تطبيقات خارج متجر Play. 

وينصح مختصو الأمن السيبراني بعدم تنزيل أي ملف APK من مصادر غير معروفة، بالإضافة إلى التحقق بدقة من الأذونات التي تحصل عليها التطبيقات، وتجنب منح صلاحيات عرض الشاشة ما لم يكن التطبيق موثوقًا وضروريًا. 

كما يُعد تحديث النظام باستمرار واستخدام تطبيقات الحماية النشطة خطوة أساسية في حماية بيانات المستخدمين.

وتشير جوجل في تعليقها إلى أن بالاكتشاف المبكر عبر Play Protect، يتم حظر التهديد بسرعة، لكنها تعيد التأكيد على أن أفضل دفاع يبقى وعي المستخدم نفسه، وأن التفكير مرتين قبل تثبيت أي تطبيق من خارج المتجر الرسمي يمكن أن يوفر حماية أكبر من أي نظام دفاعي آلي. 

ويبدو من الواضح أن التهديدات السيبرانية باتت أكثر تعقيدًا مما كانت عليه، وأن البرمجيات الخبيثة مثل Sturnus تمثل بداية جيل جديد من الهجمات يعتمد على استغلال نقاط ضعف السلوك البشري قبل استغلال ثغرات الأنظمة.