برنامج خبيث جديد لنظام أندرويد من نوع "وندرلاند" مزود بقدرات سرقة الرسائل النصية القصيرة ثنائية الاتجاه، بما في ذلك سرقة رموز التحقق لمرة واحدة (OTP).

 

 

 ظهرت عائلة برمجيات خبيثة متطورة جديدة لنظام أندرويد تُدعى "وندرلاند" لتشكل تهديدًا خطيرًا للمستخدمين في أوزبكستان ومنطقة آسيا الوسطى عمومًا.

وتُمثل هذه البرمجية الخبيثة، المتخصصة في سرقة الرسائل النصية القصيرة واعتراض كلمات المرور لمرة واحدة، تصعيدًا كبيرًا في التهديدات التي تستهدف الأنظمة المالية عبر الأجهزة المحمولة.

وقد تم اكتشاف هذه البرمجية المتطورة لأول مرة في أكتوبر 2025، وتُظهر تطورًا تقنيًا يفوق بكثير ما كانت عليه البرمجيات الخبيثة السابقة في المنطقة.

 يعمل برنامج Wdd الخبيث عبر سلسلة عدوى متعددة المراحل تبدأ بتطبيقات تحميل تبدو بريئة.

تتخفى هذه التطبيقات في هيئة برامج أو ملفات وسائط شرعية، مما يجعلها تبدو موثوقة للمستخدمين غير المتنبهين.

بمجرد تثبيتها، تقوم تطبيقات التحميل باستخراج ونشر حمولة سرقة الرسائل النصية بصمت دون الحاجة إلى أي تدخل إضافي من المستخدم.

 تزيد طريقة التوزيع السرية هذه بشكل ملحوظ من معدلات نجاح الإصابة، متجاوزةً آليات الكشف الأمني ​​التقليدية.

ما يجعل برنامج Wdd الخبيث خطيرًا للغاية هو استخدامه لتقنيات تهرب متطورة. يتضمن البرنامج حماية مدمجة ضد التحليل، ويكشف تشغيله على المحاكيات، أو الأجهزة التي تم عمل روت لها، أو في بيئات معزولة.

 عند اكتشاف مثل هذه الظروف، يتم إنهاء البرامج الضارة على الفور، مما يمنع الباحثين من دراسة سلوكها.

 

   

 

بالإضافة إلى ذلك، يستخدم البرنامج الخبيث تقنيات تشفير معقدة، بما في ذلك سلاسل طويلة من الأحرف المتكررة، مما يجعل عملية الهندسة العكسية بالغة الصعوبة على محللي الأمن.

 قدرات البرنامج الخبيث ووثقوها من خلال بحث مكثف وجمع معلومات استخباراتية دقيقة حول التهديدات.

 برنامج Wdd هو أول برنامج خبيث لسرقة الرسائل النصية القصيرة (SMS) على نظام أندرويد ينتشر على نطاق واسع في أوزبكستان، ويدعم اتصالاً ثنائي الاتجاه حقيقياً للتحكم والسيطرة.

وعلى عكس البرامج الخبيثة السابقة التي كانت تعمل بنموذج إرسال أحادي الاتجاه، يستخدم برنامج Wdd بروتوكول WebSet للتواصل المستمر ثنائي الاتجاه مع خوادم المهاجمين.

آلية تحكم ثنائية الاتجاه

يكمن الابتكار الحقيقي وراء برنامج Wdd الخبيث في بنيته للتحكم والسيطرة. إذ يستطيع هذا البرنامج تلقي أوامر فورية من المهاجمين، مما يُمكّنه من تنفيذ إجراءات ضارة بشكل ديناميكي.

كما يدعم طلبات USSD العشوائية، مما يسمح للمهاجمين بالتلاعب برموز خاصة بمزودي الخدمة أثناء التنفيذ بدلاً من الاعتماد على قيم مُبرمجة مسبقًا. 

تُمكّن هذه المرونة المهاجمين من تفعيل تحويل المكالمات وتنفيذ أساليب احتيال متقدمة.

كما يرسل البرنامج الخبيث رسائل نصية عشوائية ويُخفي الإشعارات، ما يُخفي فعليًا تنبيهات الأمان وكلمات المرور لمرة واحدة أثناء محاولات الاحتيال المالي النشطة.

يكشف التنفيذ التقني عن فهم متطور لآليات نظام أندرويد. يحافظ اتصال WebSet على اتصال مستمر، ما يجعله أداة وصول عن بُعد بدلًا من مجرد أداة لسرقة البيانات. 

عندما يكتشف البرنامج الخبيث أوامر واردة، يقوم بمعالجتها عبر معالج يفسر الطلبات وينفذ العمليات المقابلة على الجهاز المخترق.

يُصعّب إخفاء الشيفرة على المحللين تحديد معالجات الأوامر المحددة.

إلى أن الجماعات الإجرامية التي تُشغّل بنية البرامج الخبيثة حققت أرباحًا تجاوزت مليوني دولار في عام 2025 وحده، مما يُبرز الأثر الواقعي الكبير لهذه البرامج. 

ينتشر هذا البرنامج الخبيث بشكل أساسي عبر تطبيق تيليجرام، مستغلًا جلسات المستخدمين المسروقة وأساليب الهندسة الاجتماعية لخداع الضحايا.

لذا، ينبغي على المؤسسات والمستخدمين تطبيق نظام مراقبة أمنية شامل وتجنب تثبيت التطبيقات من مصادر غير موثوقة للحماية من هذا التهديد المتطور.