تتواصل التحديات في عالم الأمن السيبراني مع ظهور تهديدات جديدة تستهدف المستخدمين عبر الأجهزة المحمولة. في هذا السياق، يبرز دور البرمجيات الخبيثة مثل “أنتي دوت” (AntiDot)، التي أثارت اهتمام الباحثين بعد اكتشافها وفضح آليات عملها التي أسفرت عن اختراق أكثر من 3,775 جهازًا ضمن 273 حملة فريدة.

تحليل معمق للسلوكيات والآليات الخبيثة

يتم تشغيل “أنتي دوت” بواسطة جهة تهديد تعرف باسم لارف-398 (LARVA-398) التي تسعى لتحقيق مكاسب مالية من خلال بيعها كخدمة (MaaS) في الأسواق السوداء الإلكترونية. يُعلن عن “أنتي دوت” كحل “ثلاثة في واحد”، حيث يمكنه تسجيل شاشة الجهاز، اعتراض الرسائل النصية، واستخراج بيانات حساسة من التطبيقات الأخرى.

تُظهر الأبحاث أن هذه البرمجية الخبيثة تُوزع عبر شبكات إعلانات ضارة أو حملات تصيد موجهة بعناية، تستهدف الضحايا بناءً على اللغة والموقع الجغرافي. وقد تم توثيق “أنتي دوت” علنًا لأول مرة في مايو 2024، بعد أن لوحظ توزيعها كـ تحديثات على متجر جوجل بلاي لتحقيق أهدافها في سرقة المعلومات.

مخاطر وتهديدات أمنية

تشمل قدرات “أنتي دوت” تنفيذ هجمات التراكب، تسجيل ضربات المفاتيح، والتحكم عن بعد في الأجهزة المصابة باستخدام واجهة برمجة التطبيقات (API) الخاصة بـ ميديا بروجيكشن (MediaProjection) في أندرويد. كما أنها تنشئ اتصالًا باستخدام “ويب سوكيت” (WebSocket) لتسهيل التواصل في الوقت الحقيقي بين الجهاز المصاب والخادم الخارجي.

في ديسمبر 2024، كشفت شركة زيمبريوم (Zimperium) تفاصيل حملة تصيد جديدة تستخدم نسخة محدثة من “أنتي دوت” معروفة باسم “أبلايت بانكر” (AppLite Banker) عبر عروض عمل زائفة.

التطورات الأخيرة والتهديدات المتنامية

أظهرت أحدث الأبحاث أن هناك على الأقل 11 خادمًا نشطًا للتحكم والسيطرة (C2) تُشغل أكثر من 3,775 جهازًا مصابًا عبر 273 حملة مختلفة. يعتمد “أنتي دوت” على حزم برمجية لتجنب الاكتشاف وتحليل الجهود.

بعد إطلاقه، يعرض “أنتي دوت” شريط تحديث زائف ويحث الضحية على منحه صلاحيات الوصول، بعد ذلك يقوم بفك حزم الملفات المشفرة وتشغيل وظائف الشبكة الخبيثة.

التهديدات المستجدة في مجال البرمجيات الخبيثة

أحد الجوانب المقلقة هو قدرة “أنتي دوت” على متابعة التطبيقات التي يتم تشغيلها حديثًا وتقديم شاشات تسجيل دخول زائفة عندما يفتح الضحية تطبيقًا متعلقًا بالعملات المشفرة أو المدفوعات.

كما تستغل البرمجية خدمات الوصول لجمع معلومات واسعة النطاق حول محتويات الشاشة النشطة وتعيين نفسها كتطبيق الرسائل النصية الافتراضي لالتقاط الرسائل الواردة والصادرة.

الإجراءات الوقائية والتوصيات

يجب على المستخدمين تجنب تحميل التطبيقات من مصادر غير موثوقة وتحديث أجهزتهم بشكل منتظم لتطبيق أحدث تصحيحات الأمان. بالإضافة إلى ذلك، ينبغي تفعيل ميزات الحماية مثل المصادقة الثنائية (2FA) وتجنب النقر على الروابط المشبوهة في الرسائل النصية أو البريد الإلكتروني.

نقطة نقاش

كيف يمكن للمستخدمين والجهات المعنية تعزيز الأمن السيبراني لمواجهة التهديدات المتزايدة من البرمجيات الخبيثة المتطورة؟ شاركونا آرائكم على فيسبوك وإكس (تويتر) باستخدام الهاشتاغ #أمان_الهواتف.