برمجية خبيثة جديدة باسم “Crocodilus” تسرق البيانات الحساسة لمحافظ العملات الرقمية: تقرير الخبراء

المؤلف

فاطمة فرج

المؤلف

فاطمة فرج

قراءة المؤلف

انشر

تم النسخ

آخر تحديث: 

مارس ٣١, ٢٠٢٥

لماذا يمكنك الوثوق بـ Cryptonews؟

لأكثر من عقد من الزمن، يواصل موقع Cryptonews تقديم تغطية شاملة ومميزة لعالم العملات الرقمية، بهدف تزويد قرائه بمحتوى غني بالمعلومات. يتمتع فريقنا من الصحفيين والمحللين بخبرة عميقة في أسواق العملات الرقمية وتقنيات البلوكشين. نحن ملتزمون بأعلى المعايير التحريرية، مع التركيز على الدقة والحياد في تقديم الحقائق والتقارير، سواء كانت تتعلق بالعملات المشفرة أو مشاريع البلوكشين أو آخر المستجدات والمنتجات والتطورات التكنولوجية. وجودنا المستمر في هذا المجال يعكس التزامنا العميق بمواكبة التغيرات السريعة في عالم الأصول الرقمية وتقديم المعلومات القيمة لقرائنا. تعرف على المزيد عن Cryptonews

إفصاح إعلاني

نلتزم بالشفافية التامة مع قرائنا. يحتوي بعض محتوانا على روابط شراكة تسويقية، مما يعني أننا قد نكسب عمولة من خلال هذه الشراكات.

ظهرت برمجية خبيثة جديدة يُطلق عليها اسم “Crocodilus” وتتسم بكونها “متطورة للغاية”، حيث تستهدف الأجهزة العاملة التي تعمل بنظام أندرويد وتقوم بسرقة بيانات حساسة لمحافظ العملات الرقمية من خلال تكتيكات الهندسة الاجتماعية.

وقد كشفت الأبحاث الحديثة التي أجرتها شركة الأمن السيبراني Threat Fabric عن ظهور سلالة برمجيات خبيثة وحديثة النشأة، وهي تُدعى Crocodilus. ويُقال أنّ هذه البرمجية يتم توزيعها عبر برنامج تنزيل خاص يتجاوز قيود نظام أندرويد 13+.

وأشار المحللون إلى أنه “على الرغم من كونها برمجية جديدة، إلا أنها تتضمن بالفعل جميع ميزات البرمجيات المصرفية الخبيثة الحديثة: هجمات التراكب (overlay attacks)، تسجيل ضغطات المفاتيح، الوصول عن بُعد، وقدرات التحكم المخفي عن بُعد.”

ولا يُعتبر ظهور البرمجيات الخبيثة المتطورة على أنظمة أندرويد، والمصمّمة لسرقة مفاتيح المحافظ الرقمية، أمرًا غير مألوف. ففي أكتوبر من سنة 2024، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا بشأن برمجية خبيثة مماثلة تُدعى SpyAgent، والتي كانت مرتبطة بقراصنة من كوريا الشمالية.

لكن من بين الميزات الرئيسية لحصان طروادة المصرفي الجديد Crocodilus، نذكر قدرته على “السيطرة على الجهاز وسرقة بيانات تسجيل الدخول المتقدمة”، وفقًا لما نشره Threat Fabric على منصة X.

يعرض Crocodilus تراكبات لاستهداف البنوك ومنصات تداول العملات الرقمية

ينطوي Crocodilus على نفس آلية عمل برمجيات “Device Takeover banking Trojan” الحديثة، وذلك وفقًا للمحللين. وبعد التثبيت الأولي عبر برنامج التنزيل الخاص، تطلب البرمجية تفعيل “خدمة إمكانية الوصول” (Accessibility Service)، حسب ما أفاد به التقرير.

ولاعتراض بيانات تسجيل الدخول، يتصل Crocodilus بخادم القيادة والتحكم (C2) للحصول على تعليمات مثل التراكبات التي يجب استخدامها.

علاوة على ذلك، سجل هذا التهديد أول ظهور له في إسبانيا وتركيا، مستهدفًا عدة محافظ عملات رقمية، وفقًا لفريق استخبارات التهديدات المحمولة.

وأضاف الفريق: “نتوقع أن يتوسع نطاق الاستهداف ليصل إلى الصعيد العالمي في ظل تطور البرمجية الخبيثة”.

بالإضافة إلى ذلك، تكون البرمجية قادرة على تجاوز بروتوكول المصادقة الثنائية (2FA) من خلال تنفيذ أوامر RAT التي تقوم بالتقاط شاشة تطبيق Google Authenticator. ويقوم Crocodilus بالتقاط الرمز المعروض على الشاشة في التطبيق ثم يرسله إلى خادم القيادة والتحكم (C2).

البرمجية تطلب من الضحايا تنفيذ الاختراق بأنفسهم

على عكس برمجيات حصان طروادة الأخرى، تستهدف تراكبات Crocodilus محافظ العملات الرقمية عن طريق مطالبة الضحايا بإجراء نسخة احتياطية لمفاتيح محافظهم الخاصة.

ويظهر نص التراكب التحذيري كالتالي: “قم بإنشاء نسخة احتياطية لمفتاح محفظتك من خلال إعدادات الجهاز خلال 12 ساعة. وإلا، سيتم إعادة ضبط التطبيق، وقد تفقد الوصول إلى محفظتك.”

ويكون نص التراكب الذي يظهر باللغة الأنجليزية كالآتي:

“Back up your wallet key in the settings within 12 hours. Otherwise, the app will be reset, and you may lose access to your wallet,” the overlay text reads.

ويستغل هذا الهجوم الهندسة الاجتماعية لتوجيه الضحايا إلى الوصول إلى العبارة الأولية (seed phrase) الخاصة بمحافظهم، مما يتيح لـ Crocodilus استخراج النص باستخدام “مسجل إمكانية الوصول” (Accessibility Logger).

وقد أشار محلّلو Threat Fabric إلى أنه “من خلال هذه المعلومات، يمكن للمهاجمين الاستيلاء على المحفظة بالكامل وسحب جميع الأموال منها”.