يتجاوز حصان طروادة معقد أمان كل من أبل وغوغل لجمع عبارات البذور للعملات الرقمية من صور الأجهزة المحمولة، مما يمثل تصعيدًا كبيرًا في هجمات استهداف العملات الرقمية على الأجهزة المحمولة.
اكتشف باحثو الأمن السيبراني في كاسبرسكي حملة جديدة ومعقدة للبرامج الضارة المحمولة تُعرف باسم "SparkKitty" والتي نجحت في اختراق المتجرين أبل وجوجل بلاي، مما أدى إلى تعريض أكثر من 5000 مستخدم للعملات الرقمية عبر الصين وجنوب شرق آسيا للخطر.
يركز البرامج الضارة على سرقة لقطات شاشة لعبارات البذور المخزنة في معارض الهواتف المحمولة، مما يمثل تطورًا كبيرًا في هجمات استهداف العملات الرقمية التي تستغل الثغرات الأمنية الأساسية في الأجهزة المحمولة.
كان البرامج الضارة نشطًا منذ أوائل عام 2024 على الأقل، وفقًا لأحدث تقرير أمني من كاسبرسكي صدر هذا الأسبوع. على عكس طرق توزيع البرامج الضارة التقليدية، حقق "SparkKitty" نجاحًا كبيرًا من خلال التسلل إلى داخل تطبيقات تبدو شرعية عبر كل من منصات الأجهزة المحمولة الرئيسية، بما في ذلك أدوات تتبع أسعار العملات الرقمية، وتطبيقات المقامرة، والإصدارات المعدلة من تطبيقات الوسائط الاجتماعية الشهيرة مثل TikTok.
الجوانب الأكثر إثارة للقلق في هذه الحملة هي تجاوزها الناجح لعملية مراجعة متجر التطبيقات الصارمة لأبل وأنظمة الأمان Play Protect لغوغل. حقق تطبيق مراسلة مُصاب، يسمى SOEX، أكثر من 10,000 عملية تنزيل قبل الكشف عنه وإزالته، مما يظهر قدرة البرامج الضارة على العمل دون رصدها داخل أنظمة التطبيق الرسمية لفترات طويلة.
منهجية جمع البيانات المتطورة
يمثل "SparkKitty" تقدمًا تقنيًا كبيرًا مقارنة بسابقه، "SparkCat"، الذي تم تحديده لأول مرة في يناير 2025. على عكس البرامج الضارة التقليدية التي تستهدف البيانات الحساسة بشكل انتقائي، يسرق "SparkKitty" جميع الصور من الأجهزة المصابة بشكل عشوائي، مما ينشئ قواعد بيانات شاملة لصور المستخدم التي يتم تحميلها لاحقًا إلى خوادم بعيدة للتحليل.
يعمل البرنامج الضار من خلال عملية متعددة المراحل متقدمة. عند التثبيت عبر ملفات تعريف التوفير الخادعة، يطلب "SparkKitty" أذونات الوصول القياسية إلى معرض الصور - وهو طلب يبدو روتينيًا لمعظم المستخدمين. بمجرد منح الوصول، يرصد حصان طروادة باستمرار مكتبة الصور الخاصة بالجهاز بحثًا عن التغييرات، ويقوم بإنشاء قواعد بيانات محلية للصور الملتقطة قبل نقلها إلى الخوادم التي يسيطر عليها المهاجمون.
يؤكد باحثو كاسبرسكي أن الهدف الرئيسي للمهاجمين يبدو أنه تحديد واستخراج عبارات بذور محفظة العملات الرقمية من لقطات الشاشة المخزنة على الأجهزة المصابة. هذه العبارات المكونة من 12 إلى 24 كلمة توفر وصولاً كاملاً إلى أصول المستخدمين الرقمية، مما يجعلها أهدافًا ذات قيمة كبيرة لمجرمي الإنترنت.
تظهر "SparkKitty" في سياق تصاعد الجريمة الإلكترونية التي تركز على العملات الرقمية. وفقًا لتحليل TRM Labs لعام 2024، فإن ما يقرب من 70% من 2.2 مليار دولار في العملات الرقمية المسروقة ناتج عن هجمات البنية التحتية، لاسيما تلك التي تتضمن سرقة المفاتيح الخاصة وعبارات البذور. ففي يناير 2025 وحده، فقد 9,220 ضحية 10.25 مليون دولار لمخططات صيد العملات الرقمية، مما يبرز الطبيعة المستمرة والمتطورة لتهديدات استهداف العملات الرقمية.
يركز البرامج الضارة حاليًا على منطقة جغرافية في الصين وجنوب شرق آسيا، مما يعكس اتجاهات أوسع في تبني العملات الرقمية واستهداف مجرمي الإنترنت. لكن خبراء الأمن يحذرون من أن القدرات التقنية لـ"SparkKitty" والفعالية المثبتة تجعل التوسع العالمي محتملاً بدرجة كبيرة. قدرة البرامج الضارة على التسلل إلى متاجر التطبيقات الرسمية تشير إلى أن أي نظام بيئي للأجهزة المحمولة ليس في مأمن من الهجمات المتطورة التي تستهدف العملة الرقمية.
التطور التقني والإسناد
يكشف التحليل القضائي عن ارتباطات كبيرة بين "SparkKitty" وحملة البرامج الضارة السابقة "SparkCat". كلا الطروجان يشتركان في رموز التصحيح وأنماط بناء الشفرة وعدة تطبيقات ناقلات مخترقة، مما يشير إلى تنسيق تطوير من قبل نفس الجهات التهديدية. ومع ذلك، يظهر "SparkKitty" تحسينات تقنية ملحوظة، بما في ذلك قدرات جمع البيانات المعززة وتقنيات التهرب المحسنة.
استهدف "SparkCat" تحديدًا عبارات استرجاع محفظة العملات الرقمية باستخدام تقنية تمييز الأحرف البصرية لاستخراج هذه العبارات من الصور، بينما يتبنى "SparkKitty" نهجًا أوسع بجمع جميع بيانات الصور المتوفرة للمعالجة لاحقًا. هذا التطور يشير إلى أن المهاجمين ينظمون عملياتهم لتحقيق كفاءة أعلى في جمع البيانات مع تقليل المعالجة على الجهاز التي قد تثير إنذارات أمانية.
يكشف حملة "SparkKitty" عن ثغرات أساسية في ممارسات أمان العملات الرقمية المحمولة. يلتقط العديد من المستخدمين بشكل روتيني لقطات شاشة لعباراتهم البذور من أجل الراحة، مما ينشئ نسخًا رقمية تصبح أهدافًا رئيسية للبرامج الضارة مثل "SparkKitty". هذه الممارسة، رغم أنها مفهومة من منظور تجربة المستخدم، تخلق ثغرات أمانية حرجة يقوم المهاجمون المتطورون باستغلالها بشكل متزايد.
يؤكد الباحثون في مجال الأمن أن التهديد يمتد إلى ما بعد المستخدمين الأفراد ليشمل النظام الإيكولوجي الأوسع للعملة الرقمية. يوميًا، يتم رصد 560,000 قطعة من البرامج الضارة الجديدة، مع أن أصبحت منصات الجوال أهدافًا جذابة بشكل متزايد مع تسارع اعتماد العملة الرقمية على مستوى العالم.
نجاح البرنامج الضار في تجاوز تدابير الأمان لمتاجر التطبيقات يثير أيضًا تساؤلات حول فعالية أطر الأمان المتنقلة الحالية. قامت كل من أبل وغوغل بتنفيذ عمليات مراجعة معقدة مصممة لمنع التطبيقات الخبيثة من الوصول إلى المستخدمين، إلا أن تسلل "SparkKitty" الناجح يُظهر أن المهاجمين المصممين لا يزال بإمكانهم التفاف هذه الحمايات.
استجابة الصناعة وتدابير دفاعية
بعد كشف كاسبرسكي، بدأت أبل وغوغل في إجراءات إزالة التطبيقات المصابة بـ"SparkKitty" المحددة. ومع ذلك، فإن الطبيعة الديناميكية للتهديد تعني أن المتغيرات الجديدة قد تستمر في الظهور، مما يتطلب اليقظة المستمرة من الباحثين في مجال الأمن ومشغلي متاجر التطبيقات على حد سواء.
يوصي خبراء أمان العملات الرقمية باتخاذ تدابير دفاعية فورية لمستخدمي المحافظ المحمولة. تشمل التوصيات الأساسية تجنب التخزين الرقمي لعبارات البذور تمامًا، واستخدام المحافظ البيانية للمقتنيات الكبيرة، وتنفيذ عمليات تدقيق إذن التطبيقات الصارمة. يُنصح المستخدمون بمراجعة معارض الصور الموجودة للبحث عن أي بيانات اعتماد محفظة مخزنة وحذف مثل هذه الصور على الفور.
أثارت الحادثة أيضًا مناقشة متجددة حول معايير أمان العملات الرقمية المحمولة. يدعو قادة الصناعة إلى تعزيز متطلبات الأمان للتطبيقات المتصلة بالعملات الرقمية على الهواتف المحمولة، بما في ذلك عمليات تدقيق الأمان الإلزامية ونماذج الإذن الصارمة للتطبيقات التي تتعامل مع البيانات المالية الحساسة.
بينما تركز "SparkKitty" حاليًا على الأسواق الآسيوية، يحذر الخبراء في مجال الأمن السيبراني من أن توسعها العالمي يبدو أنه لا مفر منه. الفعالية المثبتة للبرامج الضارة والطبيعة العالمية لاستخدام العملات الرقمية المحمولة تشير إلى أن الأسواق الغربية قد تواجه تهديدات مماثلة قريبًا. بحلول عام 2025، قد تكلف الجريمة الإلكترونية - بما في ذلك الهجمات المدفوعة بالبرامج الضارة - الاقتصاد العالمي 10.5 تريليون دولار سنويًا، حيث تمثل البرامج الضارة التي تستهدف العملات الرقمية مكونًا متزايدًا في مشهد التهديدات هذا.
تشير الطبيعة المتطورة لقدرات تسلل متجر التطبيقات التي يتمتع بها "SparkKitty" إلى أن حملات مماثلة قد تكون جارية بالفعل في مناطق أخرى. يدعو الباحثون في مجال الأمن إلى تعزيز التعاون الدولي في مكافحة البرامج الضارة التي تستهدف العملات الرقمية المحمولة، بما في ذلك تحسين تبادل المعلومات بين مشغلي متاجر التطبيقات ومنظمات الأمن السيبراني.
تقييم التهديدات المستقبلية
تمثل حملة "SparkKitty" تصعيدًا كبيرًا في تهديدات العملة الرقمية المحمولة، حيث تجمع بين قدرات تقنية متقدمة وآليات توزيع مثبتة. مع استمرار تبني العملات الرقمية في التوسع عالميًا، من المحتمل أن تزيد التهديدات المماثلة من حيث التكرار والتعقيد.
يتوقع خبراء الأمن أن تتضمن الإصدارات المستقبلية من البرامج الضارة التي تستهدف العملات الرقمية تقنيات تجنب إضافية، بما في ذلك طرق تجاوز متاجر التطبيقات المعززة وقدرات استخراج البيانات الأكثر تعقيدًا. قد يلهم نجاح طريقة جمع الصور لـ"SparkKitty" المزيد من عائلات البرامج الضارة لتبني منهجيات مماثلة، مما يخلق بيئة تهديد تصاعدية لمستخدمي العملات الرقمية المحمولة.
تؤكد الحادثة على الأهمية الحيوية لممارسات الأمان المتنقلة القوية لحاملي العملات الرقمية. مع استمرار ارتفاع قيم الأصول الرقمية وتوسع التبني، تمثل الأجهزة المحمولة أهدافًا جذابة بشكل متزايد لمنظمات مجرمي الإنترنت المتطورة.
يجب على المستخدمين تكييف ممارساتهم الأمنية وفقًا لذلك، مع إعطاء الأولوية لاستخدام المحافظ البيانية وإزالة تخزين عبارات البذور الرقمية لحماية مقتنياتهم من التهديدات المتطورة لبرامج ضارة محمولة.