الصفحة الرئيسية
Cyber-Security

برنامج روكارولا الخبيث: كيف يختطف هاتفك ويسرق بياناتك المصرفية

Cybersecurity Arab

عند إصابة جهازك ببرنامج روكارولا، فإنه يستهدف سرقة بيانات الدخول من التطبيقات المصرفية وأنشطة криптовалюта. كما يستخدم طبقات وهمية فوق شاشة القفل لالتقاط رقم التعريف الشخصي (PIN) أو النمط أو كلمة المرور التي تدخلها.

Rokarolla Android malware can take over your phone and steal banking logins

عندما تفتح أحد التطبيقات المصرفية أو تطبيقات криптовалюта الموجودة ضمن قائمة أهداف روكارولا، يقوم البرنامج الخبيث بتنزيل صفحة تسجيل دخول مزيفة تتطابق مع التطبيق الأصلي وعرضها فوقه. أي معلومات تدخلها في هذه الصفحة المزيفة، بما في ذلك أسماء المستخدمين وكلمات المرور وأرقام البطاقات، تُرسل مباشرة إلى المهاجمين.

إلى جانب ذلك، يستغل روكارولا ميزة إمكانية الوصول (Accessibility) في نظام أندرويد لمراقبة نشاطك على الجهاز بأكمله. يمكنه التعرف على شاشات تطبيق واتساب من خلال البحث عن تسميات مألوفة مثل "المحادثات" و"المكالمات"، واستخراج معلومات جهات الاتصال، وقراءة الرسائل النصية وإرسال رسائل جديدة. هذه القدرات تمكنه من اعتراض كلمات المرور لمرة واحدة (OTPs) ورموز المصادقة الثنائية (2FA).

يمكن لبرنامج روكارولا أيضًا السيطرة على الرسائل النصية والمكالمات الهاتفية، مما يساعد على حظر تنبيهات الأمان وإخفاء علامات الاحتيال. بالإضافة إلى ذلك، يمكنه تسجيل كل ما تكتبه وتراه على الشاشة. إذا قمت بنسخ ولصق عنوان محفظة عملة رقمية، فقد يستبدل البرنامج العنوان بسجل المهاجمين دون أن تلاحظ ذلك.

من بين الميزات الأخرى التي تساعد روكارولا على الاختباء، قدرته على إخفاء أيقونته، وتخفيف صوت الجهاز، وتعطيل حماية Google Play، ومنع شاشة الهاتف من الدخول في وضع السكون.

كيف ينتشر روكارولا؟

ينتشر برنامج روكارولا من خلال مواقع إلكترونية خبيثة، حيث يتم تقديمه على شكل نسخ مزيفة لتطبيقات شهيرة مثل TikTok أو Chrome. بدلاً من توجيهك إلى متجر Google Play الرسمي، تدفعك هذه المواقع إلى تنزيل التطبيق مباشرة، وهي عملية تُعرف باسم "التثبيت الجانبي" (sideloading). بعد التثبيت، يتظاهر التطبيق المزيف بأنه حماية Google Play ثم يقوم بتنزيل وتثبيت البرنامج الخبيث الذي ينفذ الهجوم.

لضمان حصوله على الأذونات اللازمة، يطلب التطبيق المزيف أذونات قوية، بما في ذلك إمكانية الوصول (Accessibility)، وread SMS، وaccess إلى الإشعارات. نظرًا لأن هذه الطلبات قد تبدو شرعية، فإن العديد من المستخدمين قد يوافقون عليها دون إدراك المخاطر الكامنة.

كيف تتجنب برامج التجسس المصرفية مثل روكارولا؟

  • لا تثق في التطبيقات التي تدعي أنها حماية Google Play أو أي مكون نظام آخر. يجب ألا تضطر أبدًا إلى تثبيت هذه المكونات يدويًا.
  • استخدم برامج حماية من الفيروسات محدثة مع حماية ويب في الوقت الفعلي على أجهزتك.
  • تجنب تثبيت التطبيقات المتاحة على متجر Google Play من خلال التثبيت الجانبي. على الرغم من أن البرامج الخبيثة قد تتسلل أحيانًا إلى المتاجر الرسمية، فإن الخطر أكبر بكثير في المواقع الأخرى.
  • رفض الأذونات القوية للتطبيقات التي تم تنزيلها من روابط أو مواقع إلكترونية، خاصة إذا طلبت إمكانية الوصول (Accessibility) أو أذونات SMS أو القدرة على التعامل مع المكالمات، حتى لو لم تتطابق مع الغرض المعلن للتطبيق.
  • عامل أي طلب للحصول على إمكانية الوصول (Accessibility) بحذر شديد. إذا طلب تطبيق ليس من الواضح أنه أداة وصول (Accessibility) هذه الأذونات، فرفض الطلب وأعد النظر فيما إذا كنت تثق في المصدر.
  • افحص شاشات تسجيل الدخول للتطبيقات المصرفية وأنشطة криптовалюта. إذا بدا شيء ما غير صحيح، أو رأيت مطالب تسجيل دخول متعددة، أغلق التطبيق وأعد تشغيله من أيقونته الرسمية.

إرسال تعليق