برنامج DLok الخبيث الجديد يُقفل أجهزة أندرويد ويطلب فدية

 

 

 يستهدف برنامج خبيث جديد وخطير يُدعى DLok مستخدمي نظام أندرويد، وخاصةً في المناطق الناطقة بالإسبانية، عبر مواقع إلكترونية تصيدية.

يجمع هذا التهديد بين أساليب برامج الفدية وقدرات التحكم عن بُعد، مما يُشكّل خطرًا جسيمًا على مستخدمي الأجهزة الشخصية والتجارية.

 بمجرد تثبيته، يحوّل برنامج DLok الخبيث الهاتف الذكي إلى نقطة ضعف يمكن للمهاجمين التلاعب بها كيفما شاؤوا، مما يجعله مصدر قلق بالغ لأمن الأجهزة المحمولة.

يبدأ هذا البرنامج الخبيث هجومه عبر عملية إصابة على مرحلتين. يقوم تطبيق مُثبِّت بخداع المستخدمين لحملهم على تثبيت الحمولة الخبيثة الفعلية من خلال انتحال صفة تطبيق شرعي، وغالبًا ما يُقلّد خدمات موثوقة.

تُمكّن هذه الطريقة برنامج DLok من تجاوز قيود أمان نظام أندرويد والوصول إلى خدمات الوصول الأساسية.

بعد التثبيت، يطلب البرنامج الخبيث أذونات مسؤول الجهاز وأذونات الوصول، والتي غالبًا ما يمنحها الضحايا دون إدراكهم لعواقبها.

  باحثو الأمن في بنية DLok المتطورة خلال تحقيقهم.

 

 يستخدم البرنامج الخبيث كلاً من HTTP و WeSock للتواصل مع خادم التحكم والسيطرة الخاص به، مما يُمكّن المهاجمين من إرسال التعليمات واستلام البيانات المسروقة بشكل مستمر.

 

 يُمكّن هذا الاتصال ثنائي الاتجاه من التحكم الفوري بالأجهزة المخترقة.

فهم آلية سرقة بيانات الاعتماد في DLok

يستخدم DLok تقنيتين مختلفتين للتراكب لسرقة بيانات اعتماد المستخدم وأنماط فتح القفل.

تعتمد الطريقة الأولى على واجهة رسم أنماط مُدمجة مباشرةً في شفرة البرمجية الخبيثة، وتظهر فورًا عند محاولة المستخدمين فتح أجهزتهم أو الوصول إليها.

 تلتقط هذه الطبقة أنماط فتح القفل دون تنبيه المستخدمين إلى السرقة. أما الأسلوب الثاني فيعتمد على طبقات HTML يتم تحميلها ديناميكيًا من قاعدة بيانات على خادم المهاجم.

تحاكي هذه الطبقات تطبيقات البنوك وشاشات تسجيل الدخول الشرعية بدقة، ما يدفع المستخدمين إلى إدخال بيانات اعتمادهم مباشرةً في نماذج مزيفة.

عندما يتفاعل المستخدمون مع هذه الطبقات، تتدفق جميع المعلومات المُدخلة مباشرةً إلى بنية المهاجم التحتية.

يراقب البرنامج الخبيث متى يفتح المستخدمون تطبيقات محددة ويطابقها مع قائمة يوفرها الخادم.

في حال وجود تطابق، يقوم برنامج DLok بنشر الطبقة المقابلة فورًا. يضمن هذا الاستهداف الذكي تركيز المهاجمين على التطبيقات ذات القيمة العالية، مثل أنظمة البنوك والدفع.

 إضافةً إلى سرقة بيانات الاعتماد، يسجل برنامج DLok نشاط الشاشة ويلتقط صورًا باستخدام كاميرا الجهاز، مما قد يكشف معلومات حساسة معروضة على الشاشة، بما في ذلك كلمات المرور لمرة واحدة ورموز المصادقة.

يهدد برنامج DLok بحذف جميع البيانات خلال 24 ساعة ويطلب دفع فدية عبر بيانات الاتصال المُقدمة.

 

 على عكس برامج الفدية التقليدية التي تشفر الملفات، لا يحتاج هذا البرنامج الخبيث إلى تشفير البيانات، إذ يمكنه ببساطة مسح كل شيء باستخدام أوامر إعادة ضبط المصنع.

لذا، يُعدّ الوقاية والكشف المبكر أمرًا بالغ الأهمية، إذ يصبح التعافي بعد الإصابة شبه مستحيل دون مساعدة الخبراء.