في سبتمبر 2023، كشفت مجموعة آي بي عن مجموعة إجرامية ناطقة بالإسبانية لم تكن معروفة من قبل، وهي فريق جي إكس سي ، والتي تدير منصة متطورة للتصيد الاحتيالي كخدمة مدعومة بالذكاء الاصطناعي. واستهدف فريق جي إكس سي مستخدمي البنوك الإسبانية ، واستخدم تكتيكات غير تقليدية شكلت تهديدًا إقليميًا كبيرًا. ظهر فريق جي إكس سي في البداية في يناير 2023 على تيليجرام وExploit.in، وتخصص في تطوير وبيع أدوات التصيد الاحتيالي، وبرامج التجسس الخبيثة التي تعمل بنظام أندرويد، وأدوات الاحتيال التي تعمل بالذكاء الاصطناعي. وشملت خدماتهم بيع بيانات اعتماد مصرفية مسروقة وترميز مخصص مقابل أجر، والعمل بموجب نموذج البرامج الضارة كخدمة حيث يمكن للعملاء شراء موارد التصيد الاحتيالي المصممة لتقليد نطاقات البنوك. والجدير بالذكر أن برامجهم الخبيثة التي تعمل بنظام أندرويد صُممت لاعتراض أكواد OTP (كلمة المرور لمرة واحدة)، مما أثر بشكل خاص على مستخدمي أكثر من 36 بنكًا إسبانيًا وهيئات حكومية و30 مؤسسة في جميع أنحاء العالم. اكتشف محللو Group-IB ما لا يقل عن 250 نطاق تصيد احتيالي منسوب إلى الجهة المهددة واكتشفوا 9 متغيرات من البرامج الضارة التي تعمل على نظام Android.
على الرغم من أن أدواتهم ليست متطورة للغاية، فإن الميزات المبتكرة التي يتمتع بها فريق GXC جعلتهم يشكلون تهديدًا خطيرًا لأمن البنوك في إسبانيا. تتعمق هذه المقالة في أساليبهم التشغيلية، والخصائص المميزة لأدواتهم الخبيثة، واستراتيجياتهم الهجومية، واستراتيجيات الدفاع الفعالة ضد مثل هذه التهديدات.
فريق GXC للأعمال الإجرامية
ظهر فريق GXC على رادار Group-IB في يناير 2023 ، عندما بدأوا في تقديم خدماتهم الإجرامية من خلال قناتهم الخاصة على Telegram والمنتدى السري Exploit.in. تراوح سعر مجموعة التصيد من 150 دولارًا إلى 900 دولار ، بينما تكلف الحزمة التي تتضمن مجموعة التصيد والبرامج الضارة لنظام Android حوالي 500 دولار شهريًا. ركز فريق GXC بشكل خاص على تطوير وتوزيع مجموعات التصيد والبرامج الضارة لنظام Android التي تستهدف مستخدمي المؤسسات المالية الإسبانية، فضلاً عن كيانات أخرى بما في ذلك الخدمات الضريبية والحكومية والتجارة الإلكترونية والبنوك وبورصات العملات المشفرة في الولايات المتحدة والمملكة المتحدة وسلوفاكيا والبرازيل.
يتألف فريق GXC للأعمال الإجرامية من:
تطوير وبيع أدوات التصيد الاحتيالي
تطوير وبيع البرامج الضارة لنظام Android
تطوير وبيع أدوات الاحتيال المدعومة بالذكاء الاصطناعي
بيع حسابات مصرفية مسروقة من البنوك الاسبانية
خدمات الترميز للإيجار
يعتمد عمل فريق GXC على نموذج كلاسيكي للبرامج الضارة كخدمة حيث يدفع الجهات الفاعلة الأخرى رسومًا شهرية مقابل مجموعة التصيد فقط أو كحزمة مع تطبيق Android الخبيث. ثم يتولى فريق GXC الباقي، فيقوم بإعداد وتكوين البنية الأساسية وتسجيل أسماء النطاقات لتقديم بيانات الاعتماد المسروقة.
بعد شراء الخدمات من فريق GXC، يتم عادةً تزويد الجهات الفاعلة الأخرى التي تشكل تهديدًا بمورد تصيد مُجهز بالكامل، مع اسم نطاق — عادةً ما يكون ذلك عن طريق نسخ اسم نطاق البنك أو انتحاله — بالإضافة إلى الاستضافة ومجموعة أدوات تصيد مُهيأة. كما سيتم إضافتهم إلى دردشة Telegram التي تم إنشاؤها خصيصًا، حيث يعمل روبوت Telegram كخادم قيادة وتحكم (C2)، حيث يرسل بيانات اعتماد مسروقة من لوحة التصيد إلى الدردشة.
ما هو المميز في أدوات GXC؟
كانت الأداة الرئيسية التي استخدمها فريق GXC في التجارة تتضمن أدوات التصيد المخصصة وبرامج التجسس التي تعمل بنظام Android. وكانت أدوات التصيد التي قدمها فريق GXC متاحة لـ 36 بنكًا يعمل في إسبانيا و30 مؤسسة أخرى من دول أخرى. بالإضافة إلى ذلك، قدم فريق GXC برامج ضارة لنظام Android متخفية في هيئة تطبيق مصرفي مصمم لاعتراض رموز OTP المرسلة من البنوك الشرعية. واستنادًا إلى بحث Group-IB، تم تحديد هذا البرنامج الضار على أنه قيد الاستخدام ويستهدف عملاء 10 بنوك على الأقل تعمل حاليًا في إسبانيا .
ما يميز أدوات فريق GXC ليس تطورها التقني ولكن العديد من الميزات الرائعة التي تم تنفيذها والتي جعلت أدواتهم تشكل تهديدًا كبيرًا لعملاء البنوك في إسبانيا.
مجموعة أدوات التصيد الاحتيالي والبرامج الضارة التي تعمل بنظام Android مجمعة معًا
كان أول تطبيق ملحوظ هو تجميع مجموعة أدوات التصيد مع تطبيق أندرويد ضار. وعلى عكس مطوري التصيد النموذجيين، قام فريق GXC بدمج مجموعات التصيد مع برنامج ضار لسرقة كلمة المرور لمرة واحدة عبر الرسائل القصيرة، مما أدى إلى تغيير سيناريو هجوم التصيد النموذجي في اتجاه جديد قليلاً. فبدلاً من مجرد الاستيلاء على بيانات الاعتماد والبيانات الأخرى مباشرة من صفحة التصيد، فإن البرنامج الضار يدفع ضحاياه إلى تنزيل وتثبيت تطبيق مصرفي تحت ستار منع "محاولة التصيد". وبمجرد تثبيته من قبل الضحايا، سيطلب التطبيق أذونات للتلاعب بالرسائل القصيرة، مما يسمح للمهاجمين بإعادة توجيه الرسائل القصيرة سراً من جهاز الضحية إلى روبوت Telegram الذي يتحكم فيه فريق GXC، مما يسهل حرية استنزاف الحسابات المصرفية لضحاياهم بسهولة أكبر.
لقطة شاشة للإعلان الذي أصدره فريق GXC حول برنامج سرقة رسائل SMS OTP الذي يستهدف البنوك الإسبانية في دردشة Telegram الخاصة بهم.
ميزة الاتصال الصوتي المدعومة بالذكاء الاصطناعي في مجموعة أدوات التصيد الاحتيالي
كما قام المطورون بدمج ميزة الذكاء الاصطناعي الحديثة التي تمكن الجهات الفاعلة الأخرى من توليد مكالمات صوتية لضحاياها بناءً على مطالباتهم، مباشرة من مجموعة التصيد. في الأساس، سيتلقى الضحايا مكالمات من المفترض أنها من بنكهم، تأمرهم بتقديم رموز المصادقة الثنائية (2FA) الخاصة بهم، أو توجيههم لتثبيت تطبيقات متنكرة في شكل برامج ضارة، أو القيام بأي إجراءات أخرى يرغب فيها الجهات الفاعلة الأخرى. إن استخدام هذه الآلية البسيطة والفعالة يعزز سيناريو الاحتيال بشكل أكثر إقناعًا لضحاياهم، ويوضح مدى سرعة وسهولة تبني أدوات الذكاء الاصطناعي وتنفيذها من قبل المجرمين في مخططاتهم، وتحويل سيناريوهات الاحتيال التقليدية إلى تكتيكات جديدة وأكثر تطوراً.
لقطة شاشة لإعلان من فريق GXC حول ميزة المتصل الصوتي المدعومة بالذكاء الاصطناعي على قناة Telegram الخاصة بهم.
سيناريو الهجوم
سيناريو هجوم عام لمجموعة التصيد الاحتيالي GXC Team وبرامج التجسس التي تسرق OTP
من وجهة نظر الضحية، تبدأ عملية الاحتيال بتلقي طُعم التصيد عبر رسالة نصية قصيرة، وتستمر بالخطوات التالية:
مسار التصيد
يتم توجيه الضحية إلى موقع تصيد عبر الرسائل النصية القصيرة أو أي طريقة أخرى لتوزيع الروابط.
بمجرد وصول الضحية إلى موقع التصيد الاحتيالي، يُطلب منه تقديم بيانات اعتماده الأولية بما في ذلك تفاصيل تسجيل الدخول برقم التعريف الضريبي الإسباني (NIF، أو Número de Identificación Fiscal )، أو بيانات أخرى إلى جانب كلمة مرور. وفي الوقت نفسه، يتلقى الفاعل المهدد إشعارًا في لوحة الإدارة أو دردشة Telegram حول زيارة الضحية لموقع التصيد الاحتيالي.
مثال لموقع التصيد الأولي.
وبمجرد إنشاء هذه الأنظمة، يمارس الفاعل التهديدي السيطرة الكاملة في الوقت الفعلي عبر ما يسمى "اللوحة الحية" - وهو نوع من أدوات التصيد الاحتيالي - أو لوحة الإدارة على وجه التحديد - حيث يمكن للمهاجم أن يختار يدويًا نوع البيانات التي يطلبها من الضحايا ثم الصفحة التي يجب عرضها لهم. وبناءً على اختيارات الضحية، يتمكن الفاعل التهديدي من طلب المزيد من المعلومات الشخصية، استنادًا إلى استراتيجية التلاعب الديناميكية هذه.
لقطة شاشة من لوحة الإدارة المباشرة لمجموعة التصيد الاحتيالي.
3. اعتمادًا على المؤسسة المالية التي تم انتحال هويتها واختيار الجهة المهددة، قد يُطلب من ضحاياها صورة وثيقة الهوية (DNI)، وعنوانهم الفعلي، وعنوان بريدهم الإلكتروني، ورقم هاتفهم، ورمز OTP للرسائل القصيرة، وغير ذلك. ثم تظهر البيانات في لوحة إدارة مجموعة التصيد الاحتيالي أو يتم إرسالها إلى دردشة Telegram التي يتحكم فيها الجهة المهددة باستخدام روبوت Telegram.
لقطة شاشة لصفحة تصيد احتيالي تطلب رقم DNI (وثيقة الهوية)، باستخدام مستند نموذجي.
في هذه المرحلة، يمكن للمجرمين أيضًا تشغيل ميزة المتصل الصوتي المدعومة بالذكاء الاصطناعي مباشرة في مجموعة التصيد الاحتيالي، بحيث يتلقى ضحيتهم مكالمة آلية تقنعهم بتقديم المزيد من بياناتهم الثمينة.
مسار البرامج الضارة لنظام Android
بالنسبة لعملاء العديد من المؤسسات المالية، لم تنته الخدعة بعد. تخدعهم صفحة التصيد الاحتيالي بتنزيل وتثبيت تطبيق مصرفي مزعوم لنظام Android تحت ستار "منع محاولات الاحتيال". ومن المؤسف أن الضحايا بدلاً من ذلك يقومون بتنزيل برامج ضارة مصممة لسرقة كلمات المرور لمرة واحدة عبر الرسائل القصيرة.
مثال لصفحة تصيد تطلب من ضحاياها تثبيت "تطبيق مصرفي" تحت ستار منع محاولات الاحتيال.
4. يتظاهر ملف APK الخبيث (Android Package Kit) بأنه تطبيق بنكي شرعي يستخدم الشعار والأنماط الأصلية. عند تثبيت التطبيق وفتحه، تظهر صفحة (WebView مع عنوان URL مبرمج) تطلب منح الأذونات للتطبيق.
مثال لتطبيق مزيف يطلب الأذونات.
5. عند النقر في أي مكان داخل نافذة التطبيق، يتم فتح مربع حوار يطلب من الضحية تكوين التطبيق كتطبيق SMS افتراضي. لا يمكن إغلاق مربع الحوار هذا وسوف يتم إعادة فتحه طالما لم يتم تكوين التطبيق كتطبيق SMS افتراضي.
6. بمجرد تعيين التطبيق كتطبيق SMS الافتراضي، فسيمنحه عددًا من الأذونات بما في ذلك READ_SMS وRECEIVE_SMS مما يسمح للمجرمين بقراءة الرسائل النصية القصيرة وإرسالها وحذفها سراً.
7. في المرحلة النهائية، يفتح التطبيق موقع الويب الحقيقي للبنك في WebView مما يسمح للمستخدمين بالتفاعل معه بشكل طبيعي.
8. بعد ذلك، عندما يقوم المهاجم بتشغيل مطالبة OTP، يستقبل برنامج Android الخبيث بصمت رسائل SMS مع رموز OTP ويرسلها إلى دردشة Telegram التي يتحكم فيها الفاعل المهدد، مما يسمح للمهاجمين بتأكيد أي نوع من العمليات بما في ذلك تحويل الأموال وتغييرات الحساب وزيادة حدود الائتمان والمعاملات المالية الأخرى.
لقطة شاشة لإشعارات Telegram المرسلة إلى الروبوت الذي يتحكم فيه الفاعل المهدد والتي تحتوي على بيانات ضحيته والرسائل النصية القصيرة المعاد توجيهها من الجهاز المصاب.
إذا نجح الهجوم في نهاية المخطط، فسيكون لدى الجهة المهاجمة قدر كبير من بيانات الاعتماد والبيانات الشخصية لإجراء معاملات مصرفية مختلفة باستخدام الحساب المصرفي للضحية ، وذلك بفضل مجموعة التصيد الاحتيالي، والقدرة على تأكيد هذه العمليات، بفضل برنامج سرقة OTP المثبت.
تحليل البرامج الضارة لنظام Android GXC
البرامج الضارة التي يستخدمها فريق GXC هي برامج ضارة تعمل على نظام Android من نوع سرقة الرسائل القصيرة. الوظيفة الأساسية للتطبيق هي تلقي رسائل نصية قصيرة تحتوي على رموز تسجيل دخول OTP لتسجيل الدخول إلى البنوك وإرسالها إلى دردشة Telegram التي يتحكم فيها أحد الجهات الفاعلة المهددة.
سمات
طلب أن يصبح تطبيق الرسائل القصيرة الافتراضي.
طلب أذونات محددة صراحةً.
قراءة الرسائل القصيرة
تلقي_الرسائل القصيرة
الوصول إلى حالة الواي فاي
الخدمة الأمامية
استقبال وقراءة الرسائل النصية القصيرة.
إرسال رسائل نصية قصيرة إلى دردشة Telegram باستخدام روبوت Telegram.
عرض صفحات HTML في التطبيق.
جمع معلومات جهاز الضحية وإرسالها، مثل معرفات أجهزة الجهاز، وعنوان IP، وما إلى ذلك.
تحليل التنفيذ
فيما يلي وصف خطوة بخطوة لكيفية عمل البرامج الضارة من وجهة نظر الضحية.
عند فتح التطبيق، يتم عرض WebView للضحية. تم تكوين WebView هذا لزيارة عنوان URL مبرمج مسبقًا وعرض صفحة الويب، وهي موقع ويب بنكي حقيقي
عند النقر في أي مكان داخل نافذة التطبيق، يتم فتح مربع حوار يطلب من الضحية تكوين التطبيق كتطبيق الرسائل القصيرة الافتراضي. لا يمكن إغلاق مربع الحوار هذا وسيعاد فتحه طالما لم يتم تكوين التطبيق كتطبيق الرسائل القصيرة الافتراضي.
سيؤدي تعيين التطبيق الخبيث كتطبيق SMS الافتراضي إلى منحه عددًا من الأذونات، والأهم من ذلك READ_SMS وRECEIVE_SMS، مما سيسمح للتطبيق بقراءة واستقبال الرسائل النصية القصيرة المرسلة إلى جهاز الضحية على التوالي.
عند العودة إلى التطبيق، وبعد تعيين التطبيق كتطبيق الرسائل القصيرة الافتراضي، يمكن التفاعل مع الموقع عبر عنوان URL المبرمج بشكل طبيعي. لن يتم إعادة فتح مربع الحوار.
في الخلفية، يقوم التطبيق بإرسال أي رسائل نصية قصيرة يتلقاها الضحية إلى دردشة Telegram التي يتحكم فيها أحد الجهات الفاعلة المهددة باستخدام روبوت Telegram. يتم ترميز معرفات الدردشة والروبوت بشكل ثابت في ملف APK الخبيث.
إلى جانب محتويات الرسائل النصية القصيرة، يتم أيضًا إرسال معلومات إضافية إلى الجهة المهددة، بما في ذلك الشركة المصنعة للجهاز وطرازه، وإصدار البرنامج الثابت لنظام Android الخاص بالجهاز، وعنوان IP الحالي، ورقم هاتف مرسل الرسالة النصية القصيرة، ومحتويات الرسالة النصية القصيرة.
الفكرة هي أن الضحية سوف يقوم بتثبيت التطبيق مع منح الأذونات اللازمة ثم يتم استلام كل رسالة hSMS تحتوي على رمز OTP لإكمال تسجيل الدخول أو تأكيد المعاملة بواسطة التطبيق بدلاً من ذلك، ويتم إرسالها إلى دردشة Telegram التي يتحكم فيها الفاعل المهدد.
خاتمة
يكشف اكتشاف فريق GXC عن تهديد إلكتروني ناشئ يستهدف بشكل خاص عملاء البنوك الإسبانية ولديهم أعمال إجرامية راسخة وأدوات تصيد فعّالة، مما يجعلهم تهديدًا كبيرًا للمنطقة. يسلط فريق GXC الضوء بشكل خاص على مزيج غير عادي من أدوات التصيد الاحتيالي وبرامج التجسس التي تسرق OTP على نظام Android، مما يجعلها أكثر تنوعًا بالنسبة للمجرمين وأكثر خطورة على المستخدمين غير المطلعين.
بدءًا من صفحات التصيد العامة وتنفيذ ميزات جديدة وطرق لتحسين سيناريوهات الإغراء والهجوم، يوضح فريق GXC أن المجرمين الذين يستخدمون تقنيات بسيطة ولكن مبتكرة يصبحون ناجحين بسرعة وبالتالي يشكلون خطرًا كبيرًا ليس فقط على المستخدمين أنفسهم ولكن أيضًا على المؤسسات المالية.
ستواصل مجموعة IB مراقبة وتتبع نشاط هذا الفاعل التهديدي، وقد بدأت بالفعل تحقيقًا أكثر شمولاً حول الفاعل التهديدي.
التوصيات
ولغرض الوقاية والتخفيف من حدة هذه التهديدات، يمكن للمؤسسات المالية أن تتبنى نهجاً متعدد الجوانب لمعالجة هذه التهديدات أو التهديدات المماثلة:
مراقبة مشهد التهديد المحلي وتتبع نشاط الجهات الفاعلة في مجال التهديد من خلال حلول استخبارات التهديد
الكشف الاستباقي وإزالة موارد التصيد الاحتيالي لمنع الاحتيال في المراحل المبكرة
تنفيذ حلول مكافحة الاحتيال أو الحماية من الاحتيال المستندة إلى الجلسة للكشف عن اختراقات الحسابات وحمايتها
نشر الوعي حول مخططات الاحتيال الجديدة وتثقيف المستخدمين .
تكثيف الجهود لمكافحة هذا النوع من التهديدات من خلال تمكين التحقيقات في الجرائم الإلكترونية .
باعتبارك عميلًا مصرفيًا، إليك كيفية التعرف على مثل هذه التهديدات وحماية نفسك من محاولات الاحتيال أو التصيد الاحتيالي:
تأكد دائمًا من صحة الطلب مع البنك الخاص بك.
تأكد جيدًا قبل تقديم أي معلومات شخصية أو متعلقة بالمعاملات المصرفية عبر الإنترنت.
لا تقم بتنزيل أو تحميل أي تطبيقات مصرفية أو تطبيقات ذات صلة من مواقع أو روابط مشبوهة أو غير موثوقة.
استخدم فقط قنوات الاتصال الرسمية المعتمدة مع البنك وموظفيه.
إذا وقعت ضحية لمثل هذا الهجوم، فلا تلزم الصمت. فالمجرمون يزدهرون في ظل صمتنا. وعندما تدرك أنك أصبحت ضحية لاختراق، تأكد من إبلاغ الشرطة بذلك. وقدم أكبر قدر ممكن من التفاصيل حتى يتسنى بدء التحقيقات وتقديم الجناة إلى العدالة.
