كشفت صناعة البرمجيات الخبيثة الروبوت ضخمة في روسيا

أصدرت شركة Lookout لأمن الأجهزة المحمولة تقريرًا اليوم في DefCon يكشف عن الحجم المذهل لنطاق عمليات البرامج الضارة التي تعمل بنظام Android في روسيا ونطاقها وتعقيدها. وجد التقرير أن الجزء الأكبر من هذا البرنامج الضار الروسي لم يكن من الأفراد الوحيدين في الطوابق السفلية ، ولكن من آلات إنتاج البرمجيات الخبيثة المزيت جيدًا.

في حديثه إلى SecurityWatch ، أوضح الباحث الكبير ومهندس الاستجابة ريان سميث أن اهتمام Lookout كان واضحًا عندما لاحظوا أن البرامج الضارة للاحتيال عبر الرسائل النصية القصيرة من روسيا تشكل 30٪ من جميع البرامج الضارة التي تكتشفها الشركة. على مدار ستة أشهر ، كشفت الشركة عن صناعة كوخ نشأت حول إنتاج وتوزيع برامج ضارة لنظام Android.

الغش

اكتشف Lookout أن 10 مؤسسات مسؤولة عن حوالي 60 بالمائة من البرامج الضارة للرسائل القصيرة الروسية الموجودة هناك. كانت تتمحور هذه حول "البرامج الضارة للبرامج الضارة" والتي تنتج بالفعل التطبيقات الضارة. بمجرد التنزيل ، تستفيد هذه التطبيقات من الرموز القصيرة للرسائل النصية القصيرة التي تُرسل الفاتورة للضحايا عبر شركة الاتصالات اللاسلكية. في الولايات المتحدة ، غالبًا ما نراها مرتبطة بالمنظمات الخيرية مثل الصليب الأحمر.

إليك كيفية عمل عملية الاحتيال: يقوم Malware HQ بإنشاء تطبيقات ضارة يمكن تكوينها لتبدو وكأنها موجودة في أي شيء تقريبًا. كما يقومون بتسجيل وصيانة الرموز القصيرة مع شركات الاتصالات اللاسلكية. تقوم الشركات التابعة ، أو الأشخاص الذين يعملون نيابة عن Malware HQ's ، بتخصيص البرامج الضارة وتسويقها من خلال مواقعها الإلكترونية ووسائل التواصل الاجتماعي.

يجد الضحايا موقع الويب التابع أو وسائل التواصل الاجتماعي غير المرغوب فيها ويقومون بتنزيل التطبيقات الضارة. مرة واحدة على جهاز Android الضحية ، ترسل البرامج الضارة رسالة نصية واحدة أو أكثر من الرسائل النصية القصيرة - تكلف عادة الضحية بين 3 دولارات و 20 دولارًا أمريكيًا.

لأن Malware HQ يمتلك الرموز المختصرة ، يحصلون على المال من حامل الضحية. يأخذون تخفيضات ، ويعطون الباقي للشركات التابعة ، الذين يتقاضون رواتبهم كموظفين عاديين على أساس أدائهم. يقول سميث إن Lookout لاحظت أن بعض الشركات التابعة تحقق 12000 دولار أمريكي شهريًا لأكثر من خمسة أشهر ، مما يشير إلى أن هذا "عمل تجاري" مربح ومستقر.

ضخمة في الحجم والتعقيد

إنها عملية احتيال مباشرة ، وربما تكون الطريقة الأكثر مباشرة لكسب المال باستخدام البرامج الضارة التي تعمل بنظام Android. ما يجعل اكتشاف Lookout ملحوظًا هو الحجم وطبيعة الشركة الغريبة للعمليات.

على سبيل المثال ، جعل Malware HQ من السهل بشكل مدهش للشركات التابعة تخصيص البرامج الضارة. قال سميث إن Malware HQ أنتج العديد من الموضوعات لتسهيل قيام الشركات التابعة بتخصيص البرامج الضارة. وقال سميث: "يمكنهم جعلها تبدو مثل Skype ، و Google Play ، وأي شيء يجذب المستخدم إلى تنزيله والاعتقاد بأنه حقيقي".

قال سميث إن مؤسسات البرامج الضارة في HQ تقوم أيضًا بإدخال التحديثات ورمز جديد كل أسبوع إلى أسبوعين "مثل أي بدء تشغيل رشيق آخر." تم تصميم العديد من هذه التحديثات خصيصًا للتهرب من شركات الأمان ، حتى إلى حد "تشفير أجزاء البرنامج التي تم فك تشفيرها قبل استخدامها".

على الجانب الآخر من العملية ، تعمل الشركات التابعة بشكل كبير في أعمالها ولكن متقلبة أيضًا. وقال سميث إنه توجد منتديات ومواقع حيث يقارن الشركات التابعة تشغيل مختلف مواقع البرامج الضارة. على الرغم من أن انتظام الدفع كان مصدر قلق كبير ، إلا أن خدمة العملاء - بشكل أساسي ، دعم فني تابع - كانت مهمة للغاية. إذا كانت الشركات التابعة غير راضية عن موقع Malware HQ معين ، فسوف تهاجر إلى موقع مختلف.

HQs Malware يذهب جهدهم لجعل الشركات التابعة لها ناجحة أيضا. يقول سميث إن قادة الحلبة سيحفزون الشركات التابعة بجوائز نقدية للحصول على أداء عالٍ - بعضها يصل إلى 300000 دولار أمريكي. حتى أنهم أنشأوا منصات إعلانية للشركات التابعة لتقديم معلومات أفضل حول الحيل التي كان أداءها أفضل في أي المناطق.

الجانب المشرق

في حين أنه من المخيف أن نرى الجريمة تُنفذ على هذا النطاق الواسع ، ومع كل مظاهر الحياة الطبيعية ، هناك بعض الأخبار الجيدة هنا. يمكن للقراء في الولايات المتحدة أن يهدأوا بالراحة ، لأن معظم عمليات الاحتيال هذه تستخدم أكواد قصيرة محددة لن تعمل خارج روسيا والبلدان المحيطة بها.

الأهم من ذلك ، أوضح سميث أنه من خلال كشف المدى الكامل لهذا الاحتيال ، يمكنهم توفير حماية أفضل. وقال سميث: "نحن الآن قادرون على ربط توزيعهم". من الواضح أن الشركة يمكنها الآن حظر أكثر من مجرد الكود - الذي يتم تغييره في كثير من الأحيان - ولكن تقوم بحجب الخوادم وعناوين IP وغيرها من العلامات.

هذا لن يوقف المحتالين بشكل تام. بعد كل شيء ، إذا كانوا أذكياء بما يكفي لتعديل التعليمات البرمجية الخاصة بهم ثم أنهم أذكياء بما فيه الكفاية لمعرفة أن شركات الأمن هي لهم. ومع ذلك ، يقول سميث إن هذا قد يكون انتصارًا على المدى الطويل: "من أجل إجراء التغييرات التي يحتاجون إليها ، سيكون الأمر مكلفًا بالنسبة لهم".

ونحن نعلم أن متابعة المحفظة يعد وسيلة رائعة لمحاربة البرامج الضارة.

انقر لرؤية الصورة كاملة