تأتي الهواتف ذات التكلفة المنخفضة مع WhatsApp مزيف يسرق العملات المشفرة

نسخة مزيفة من واتساب مثبتة مسبقًا على هواتف أندرويد الرخيصة تسرق العملات المشفرة عن طريق تبديل عناوين المحفظة وفحص بيانات المستخدم.

كشف باحثون في مجال الأمن خدعة خطيرة تتعلق بهواتف أندرويد الرخيصة التي تحتوي على تطبيقات مزيفة مثبتة مسبقًا مصممة لسرقة العملات المشفرة. ووفقًا لشركة مكافحة الفيروسات الروسية دكتور ويب، تم الإبلاغ عن حملة البرمجيات الخبيثة لأول مرة في منتصف عام 2024 وقد نمت بشكل كبير منذ ذلك الحين.

يستهدف المهاجمون المستخدمين الذين يشترون الهواتف الذكية ذات التكلفة المنخفضة والتي تبدو مشابهة لنماذج الأسماء الكبيرة مثل “S23 Ultra” أو “Note 13 Pro”. غالبًا ما تدعي هذه الهواتف أنها تعمل بنظام أندرويد 14 ولكن في الواقع تعمل بنظام أندرويد 12 المعدل، مع مواصفات نظام مزيفة.

ويكون نسخة مشوهة من واتساب، تم تثبيتها بسرية على هذه الهواتف، في صميم هذا الاحتيال. باستخدام أداة تُدعى LSPatch، أضاف القراصنة وحدة مخفية إلى التطبيق. بمجرد أن تصبح نشطة، تعمل بصمت على اعتراض وتغيير عناوين محافظ العملات المشفرة المنسوخة، وهي طريقة تُعرف بـ “القص”.

حتى أن البرنامج الخبيث يخدع كلا الطرفين، المرسل والمستلم. تشرح دكتور ويب بأن “في حالة الرسالة الصادرة، يعرض الجهاز المخترق العنوان الصحيح لمحفظة الضحية الخاصة، بينما يتم عرض عنوان محفظة النصابين … للمستلم”.

تقوم هذه النسخة من الواتساب أيضاً بإرسال جميع رسائل المستخدم إلى القراصنة وتفحص الجهاز بحثاً عن الصور التي تحتوي على عبارات الاستعادة، والتي غالبًا ما تُستخدم للوصول إلى المحافظ الرقمية. يقوم العديد من المستخدمين بأخذ لقطات شاشة لهذه العبارات، مما يمنح القراصنة الوصول الكامل إذا تم العثور عليها.

أطلقت Doctor Web اسم Shibai على البرمجية الخبيثة. يُفيد التقرير أنها تؤثر في حوالي 40 تطبيقًا، بما في ذلك Telegram ،و Trust Wallet، و MathWallet. تستخدم الحملة أكثر من 60 خادمًا و30 نطاقًا، وتلقى بعض محافظ القراصنة أكثر من مليون دولار في العملات المشفرة المسروقة.