كشف باحثون أمنيون عن برمجية خبيثة جديدة لنظام أندرويد تحمل اسم “ألبيريوكس” (Albiriox)، يتم تسويقها عبر نموذج “البرمجيات الخبيثة كخدمة” (MaaS). تقدم هذه الخدمة لمشتريها، وهم غالباً مجرمون إلكترونيون، طيفاً كاملاً من الميزات المصممة لتسهيل عمليات الاحتيال المباشر من على الجهاز (ODF)، والتحكم الكامل في شاشة الهاتف، والتفاعل في الوقت الحقيقي مع الأجهزة المصابة. وتستهدف البرمجية قائمة ثابتة تضم أكثر من 400 تطبيق تشمل البنوك وتطبيقات التكنولوجيا المالية (فينتيك) ومعالجات الدفع وتبادل العملات المشفرة والمحافظ الرقمية ومنصات التداول.
آلية التسلل والتحكم عن بُعد
يعتمد البرنامج الضار على تطبيقات مساعدة (Dropper) يتم توزيعها عبر وسائل الهندسة الاجتماعية، مدعومة بتقنيات التغليف (Packing) لتجنب الكشف الثابت. وتؤكد الأدلة أن الجهات الخبيثة الناطقة بالروسية بدأت في الإعلان عنه بشكل محدود أواخر سبتمبر 2025، قبل أن تتحول إلى نموذج “الخدمة” في أكتوبر. ويتم تزويد “العملاء” بأداة بناء مخصصة تدمج مع خدمة تشفير طرف ثالث تعرف باسم “جولدن كريبت” (Golden Crypt) لتجاوز حلول مكافحة الفيروسات.
وبعد الاختراق، يستخدم “ألبيريوكس” اتصالاً غير مشفر عبر مقبس (TCP socket) للتواصل مع خادم التحكم (C2)، مما يسمح للمهاجمين بإصدار أوامر متنوعة للتحكم في الجهاز عن بُعد باستخدام تقنية (VNC)، واستخراج المعلومات الحساسة، وعرض شاشات سوداء أو فارغة، وتعديل مستوى الصوت للتخفي. كما يقوم بتثبيت وحدة وصول عن بُعد تعتمد على VNC للسماح بالتفاعل المباشر مع الهاتف.
تجاوز حماية “FLAG_SECURE” وسرقة البيانات
يتميز البرنامج الخبيث بقدرته على تجاوز إحدى أهم آليات الحماية في أندرويد، وهي خاصية FLAG_SECURE التي تمنع تطبيقات مثل البنوك والعملات المشفرة من التسجيل أو التقاط لقطات الشاشة. ويحقق “ألبيريوكس” ذلك من خلال استغلال خدمات إمكانية الوصول (Accessibility Services) في أندرويد للحصول على عرض كامل على مستوى عناصر واجهة المستخدم، مما يمكنه من رصد كل ما يحدث على الشاشة دون إثارة أي إنذارات.
كذلك، يدعم البرنامج الضار هجمات “الطبقات الزائفة” (Overlay Attacks) ضد قائمة التطبيقات المستهدفة لسرقة بيانات الاعتماد. بل ويمكنه عرض طبقات زائفة تحاكي تحديثاً للنظام أو شاشة سوداء لتمكين الأنشطة الضارة في الخلفية دون لفت الانتباه.
هجمات مستمرة.. وتصاعد خطير في تهديدات الأندرويد
يظهر “ألبيريوكس” ضمن موجة متصاعدة من التهديدات المتطورة لنظام أندرويد. ففي توقيت متقارب، تم الكشف عن أداة MaaS أخرى تحمل اسم “رادزا رات” (RadzaRat) تتخفى في صورة أداة إدارة ملفات شرعية، بينما توفر بعد التثبيت قدرات مراقبة وتحكم عن بُعد واسعة النطاق. كما تستمر حملات أخرى في التوزيع عبر صفحات وهمية لمتجر جوجل بلاي، مثل حملة تطبيق “GPT Trade” الوهمي الذي يوزع برمجية “BTMOB” الخبيثة.
تشير هذه الاكتشافات إلى اتجاه خطير نحو “إضفاء الطابع الديمقراطي” على أدوات الجريمة الإلكترونية، حيث أصبحت أدوات اختراق معقدة ومؤثرة متاحة بسهولة للمجرمين ذوي المهارات التقنية المحدودة، مما يزيد من حجم وشدة التهديدات التي يتعرض لها مستخدمو الهواتف الذكية حول العالم.
