تعرضت أجهزة أندرويد لهجوم من برمجية خبيثة تُسمى "Herodotus"، بحسب ما  كشفه مجموعة من باحثي الأمن الرقمي.

كيف تعمل البرمجية الخبيثة

وأشار الباحثون المتخصصون في الأمن الرقمي، إلى أن تلك البرمجية تؤدي إلى تأخير إرسال الرسائل النصية بشكل عشوائي، كطريقة لتمويه سلوكها؛ كي لا ترصدها أنظمة كشف الخداع. 

كما أن تلك البرمجية الخبيثة لا تسرق بيانات الدخول وتسجيل ضغطات المفاتيح والتقاط شاشة الجهاز فقط، بل تتعمق في محاكاة سلوك المستخدم الحقيقي.

ويحدث ذلك من خلال تقسيم النص الذي تكتبه البرمجية للاختراق إلى حروف، ثم تُدخل فواصل تأخير عشوائية تتراوح بين 0.3 إلى 3 ثوانٍ بين كل حرف وآخر، ما يجعل حركة الكتابة تبدو طبيعية أكثر، ويعقد رصدها من أنظمة المراقبة التي تعتمد على سرعة الكتابة كدلالة على نشاط آلي.

وتستخدم برمجية "Herodotus" في هجمات تستهدف مستخدمي الموبايل عبر تطبيقات تُحاكي البنوك، وتُستخدم لإنشاء شاشات وهمية تغطي تطبيقات بنكية أو عملات رقمية، وتسرق بيانات المستخدمين.

وتبدأ البرمجة الخبيثة في التسلل عبر تحميل من خارج متجر التطبيقات، غالبًا من رابط في رسالة نصية تؤدي إلى ثبيت "Herodotus". 

وبعد التفعيل، تطلب البرمجية من الضحية فتح إعدادات خدمة إمكانية الوصول في أندرويد، ما يمنح المهاجم القدرة على القراءة والنقر والتمرير في جهاز الضحية، كما لو كان هو المستخدم.

انتشار البرمجية الخبيثة

وتجمع بعد ذلك قائمة التطبيقات المُثبتة وترسلها إلى خادم التحكم والتوجيه لتحديد أي تطبيقات يجب العمل ضدها، ثم بعدها تبدأ في تسجيل ضغطات المفاتيح اعتراض الرسائل النصية وسرقة رموز التحقق والبصمات وأرقام "PIN". 

وتختلف برمجية "Herodotus" عن غيرها في المحاكاة الدقيقة لأنماط المستخدم البشري، سواء في تأخير الحروف أو التفاعل مع الشاشة، ما يجعل أنظمة الحماية التقليدية أقل قدرة على كشفها.

ويتوقع المتخصصون في الأمن الرقمي انتشار تلك البرمجية الخبيثة في حملات أوسع.

ونصح الخبراء مستخدمي أجهزة أندرويد بتجنب تحميل التطبيقات من خارج متجر موثوق، وعدم تفعيل صلاحيات إمكانية الوصول إلا لتطبيقات مأمونة، واليقظة تجاه رسائل "SMS" مشبوهة تحمل روابط.