قالت تقارير إنه تستهدف مجموعة Roaming Mantis الولايات المتحدة الأمريكية ببرمجيات خبيثة يمكنها سرقة المعلومات وجمع البيانات المالية وإرسال النصوص لنشرها ذاتيًا.

وحققت طروادة Wroba المصرفية عبر الهاتف المحمول محورًا رئيسيًا ، حيث استهدفت الأشخاص في الولايات المتحدة لأول مرة.

قد يهمك : جي بي مورجان تطلق وحدة بلوكتشين جديدة "Onyx"

ووفقًا للباحثين في Kaspersky ، فإن موجة من الهجمات تستهدف مستخدمي Android و iPhone في الولايات المتحدة في محاولة بدأت يوم الخميس الماضي وتستخدم الحملة الرسائل النصية للنشر ، باستخدام إشعارات وهمية لـ "تسليم الطرود" كإغراء.

وتحتوي الرسالة الموجودة داخل الرسالة على ارتباط وتقرأ ، "تم إرسال طردك.. لاحظ باحثون من Kaspersky في تنبيه عبر البريد الإلكتروني يوم الجمعة ، الرجاء التحقق من ذلك وقبوله.

اقرأ أيضا : بنك كندا المركزي يدعو لبذل جهود "منسقة عالميًا" لإطلاق عملات رقمية للبنك المركزي

وإذا نقر المستخدمون على الرابط ، فإن الشيء التالي الذي يحدث يعتمد على نظام التشغيل الذي يستخدمه الجهاز ونقرة تنقل مستخدمي Android إلى موقع ضار ، والذي بدوره يبرز تنبيهًا للمستخدمين يقول إن المتصفح قديم ويحتاج إلى تحديث وإذا نقر المستخدم على "موافق" ، فسيبدأ بعد ذلك تنزيل حزمة متصفح طروادة مع التطبيق الضار.

ولكن حيث يتم تقديم تنزيل Wroba الكامل لمستخدمي Android ، وفقًا للباحثين ، فإن الملف القابل للتنفيذ لا يعمل على iPhone.

تعرف على : بلومبيرج: لأول مرة.. البنوك المركزية تبيع الذهب منذ 2010

وبالنسبة لمستخدمي iOS ، يقوم مشغلو Wroba بدلاً من ذلك بتصميم إعادة توجيه إلى صفحة تصيد وتحاكي الصفحة صفحة تسجيل الدخول إلى معرف Apple في محاولة لحصد بيانات الاعتماد من هواة Apple ، ولكن لم يتم تثبيت أي برامج ضارة.

وكان Wroba موجودًا منذ سنوات ، ولكنه كان يستهدف في السابق المستخدمين بشكل أساسي في منطقة آسيا والمحيط الهادئ وتم تطويره لأول مرة باعتباره حصان طروادة للخدمات المصرفية عبر الهاتف المحمول خاص بنظام Android ، وهو قادر على سرقة الملفات المتعلقة بالمعاملات المالية ، ولكنه منذ ذلك الحين وسع وظائفه. 

ويعتقد الباحثون أن المشغل الذي يقف وراء Wroba يقع في الصين ويعرف باسم "Roaming Mantis".

وقال الباحثون إن هذا التكرار الأخير لـ Wroba يمكن أن يرسل رسائل SMS ، والتحقق من التطبيقات المثبتة ، وفتح صفحات الويب ، وحصد أي ملفات متعلقة بالمعاملات المالية ، وسرقة قوائم جهات الاتصال ، والاتصال بأرقام محددة ، وإظهار صفحات تصيد مزيفة لسرقة بيانات اعتماد الضحية.

بمجرد إصابة الجهاز ، يستخدم Wroba بعض وظائفه - قوائم جهات الاتصال المسروقة وإمكانية الرسائل القصيرة - للنشر ، باستخدام الأجهزة المصابة للانتشار أكثر عن طريق إرسال رسائل نصية قصيرة تحتوي على روابط ضارة ، بدعوى أنها تأتي من المضيف.

وأكد باحثون إن البرمجيات الخبيثة استهدفت المستخدمين في جميع أنحاء العالم منذ بداية العام ، ولا سيما في الصين واليابان والاتحاد الروسي.

ووفقًا لـ Kaspersky ، "الولايات المتحدة ليست حاليًا على رأس القائمة ، لكن يبدو أن مجرمي الإنترنت يتجهون إلى هذه المنطقة وسيزداد عدد المستخدمين الذين يرون Wroba وتم اكتشاف الموجة في 29 أكتوبر الجاري واستهدفت مستخدمين في ولايات مختلفة من الولايات المتحدة الأمريكية.

وأضافت الشركة: "استهدفت الحملات التي تمت مشاهدتها سابقًا المستخدمين من منطقة آسيا والمحيط الهادئ ، لذلك من المثير للاهتمام أن نرى كيف يوسع مجرمو الإنترنت أهدافهم."

وفي عام 2018 ، شهدت Wroba إعادة تشغيل كبيرة عندما بدأت في استهداف أوروبا والشرق الأوسط بالإضافة إلى الدول الآسيوية ووفقًا لباحثي Kaspersky في ذلك الوقت ، فقد وسعت أيضًا من قدراتها لتشمل التشفير بالإضافة إلى تكتيك التصيد على نظام iOS المذكور سابقًا وفي تلك المرحلة ، كان ينتشر عبر اختطاف DNS ، والذي أعاد توجيه المستخدمين إلى صفحة ويب ضارة ، كما هو الحال في الحملة الحالية ، ووزعت تطبيق أحصنة طروادة (في ذلك الوقت ، كان يتظاهر بأنه إما Facebook أو Chrome).

وشدد الباحثون على أنه لتجنب الوقوع ضحية لـ Wroba ، أو أي برنامج ضار محمول آخر ، يجب على المستخدمين استخدام قواعد النظافة الأمنية الأساسية ، مثل تنزيل التطبيقات فقط من المتاجر الرسمية ؛ تعطيل تثبيت التطبيقات من مصادر خارجية في إعدادات الهاتف الذكي ؛ وتجنب النقر فوق الروابط المشبوهة من مرسلين غير معروفين ، أو حتى الروابط المشبوهة من مرسلين معروفين.

وأضافوا أنه لا يزال الناس يتجنبون هجمات التصيد الاحتيالي عبر البريد الإلكتروني والآن تعمل الرسائل النصية القصيرة على زيادة تعقيد الأمور ويجب التعامل مع الرسائل القصيرة مثل البريد الإلكتروني ، ولا تنقر مطلقًا على روابط من مرسلين غير معروفين أو مشتبه بهم.