يحذر ESET من أن فيروس BTMOB Rat يسيطر بشكل كامل على الهواتف المحمولة التي تعمل بنظام Android في البرازيل

تم اكتشاف حصان طروادة لنظام Android، يسمى BTMOB، في الحملات النشطة في البرازيل، وفقًا لتحليل مفصل أجرته شركة الأمن ESET. البرنامج الخبيث قادر على السيطرة الكاملة على جهاز الضحية، وتنفيذ إجراءات عن بعد دون موافقة. تم اكتشافه الأولي في فبراير 2025، ومنذ ذلك الحين، أظهر الفيروس تطورًا ملحوظًا من حيث نطاق العملية وتعقيدها.

تم تصنيف BTMOB على أنه RAT، وهو اختصار لـ “حصان طروادة للوصول عن بعد”، ويسمح للمهاجم بالوصول إلى الهاتف الخليوي المصاب وتشغيله عن بعد، ويظل غير قابل للاكتشاف للمستخدم. وتمثل هذه الوظيفة تهديدًا كبيرًا، لأنها تمنح المجرم قدرة واسعة على استغلال بيانات الجهاز ووظائفه. إن مرونة التحكم التي يتميز بها برنامج BTMOB تميزه عن العديد من البرامج الضارة المالية المحددة، مما يزيد من إمكانية حدوث أضرار.

كيف يصيب BTMOB Rat الأجهزة

تبدأ عملية إصابة BTMOB بنشر روابط لمواقع ويب مزيفة، والتي غالبًا ما تحاكي منصات البث المعروفة أو خدمات العملات المشفرة. ومن خلال النقر على هذه العناوين، تتم إعادة توجيه المستخدمين إلى متاجر التطبيقات المزيفة المصممة لتشبه متجر Google Play بشكل مرئي. في هذه الصفحات الاحتيالية، يتم خداع الضحية لتثبيت تطبيق ضار، وعندها يتم إدخال الفيروس إلى جهاز Android.

بعد التثبيت الأولي، يطلب BTMOB الوصول إلى خدمات إمكانية الوصول لنظام Android. تم استغلال هذا الإذن، الذي تم تطويره في الأصل لمساعدة الأشخاص ذوي الإعاقة على استخدام الهواتف المحمولة، بشكل ضار بواسطة الفيروس. ومن خلال الحصول على هذا الوصول، يتمكن BTMOB من زيادة أذوناته في النظام وتثبيت نفسه بشكل أعمق، دون الحاجة إلى أي تدخل إضافي من المستخدم لمواصلة تشغيله.

التحكم عن بعد وسرقة البيانات بعد الإصابة

بمجرد تثبيت البرنامج ومنحه الأذونات، يُظهر برنامج BTMOB نطاقًا واسعًا من القدرات الضارة داخل الجهاز المصاب. يمكن للفيروس استخراج البيانات الحساسة، والتقاط الشاشات في الوقت الحقيقي، وتسجيل نشاط المستخدم، وتوفير معلومات قيمة للمجرمين. علاوة على ذلك، فهو يسمح للمهاجم بتشغيل الهاتف الخلوي عن بعد، وتنفيذ الأوامر والتحكم في الوظائف كما لو كان هو المالك نفسه.

ويعني هذا المستوى من التحكم إمكانية الاطلاع على كلمات المرور والوصول إلى التطبيقات المصرفية وإرسال الرسائل باسم الضحية دون علمه. إن اتساع نطاق وظائف BTMOB يجعله فيروسًا أكثر تنوعًا وخطورة، حيث إنه لا يقتصر على نوع معين من السرقة، بل يتحكم بشكل كامل في الجهاز وجميع المعلومات الواردة فيه.

نموذج “البرامج الضارة كخدمة” يجعل الوصول أسهل

يتم بيع BTMOB بموجب نموذج MaaS، أو “البرامج الضارة كخدمة”، مما يسمح بالحصول عليها واستخدامها من قبل الأفراد الذين ليس لديهم معرفة تقنية بالبرمجة. يسهل نموذج العمل هذا انتشار عمليات الاحتيال، من خلال جعل الأداة في متناول جمهور أوسع من المجرمين. تتضمن المنصة واجهة لإنشاء تطبيقات ضارة جديدة وتكييف الحملات لتناسب مختلف البلدان والجماهير المستهدفة.

تبلغ تكلفة ترخيص BTMOB مدى الحياة حوالي 5000 دولار، مع إضافة رسوم شهرية للدعم الفني. وفي يناير 2026، تم عرض ملفات BTMOB مجانًا على منتدى الويب المظلم، قبل إلغاء تنشيط الخدمة. يتم الترويج للبرامج الضارة بشكل نشط على القنوات المفتوحة على الإنترنت، بما في ذلك الصفحات الترويجية والملفات الشخصية على الشبكات الاجتماعية مثل X وInstagram، والتي توجه المشترين المحتملين إلى المشغل عبر Telegram.

Leia Tambem

سكالوني يكشف قائمة الأرجنتين النهائية لكأس العالم 2026 دون وعود من ريال مدريد وبطل أوروبا

تكشف Activision عن تاريخ إصدار Call of Duty Modern Warfare 4 وSwitch 2

ظهرت Motorola Razr Fold لأول مرة في البرازيل سعياً وراء الريادة في الأجهزة القابلة للطي ذات المهام المتعددة وبطارية 6000 مللي أمبير في الساعة

الحملات المكتشفة في أمريكا اللاتينية

وقد سجل الباحثون الأمنيون بالفعل حملات BTMOB في أمريكا اللاتينية، مع حالات ملحوظة في الأرجنتين. وفي هذه الحوادث، تم تكييف الفيروس لانتحال صفة الهيئات الحكومية الأرجنتينية، مثل سلطات الضرائب والجمارك. ويهدف تقليد الهوية المرئية لهذه المؤسسات إلى زيادة مصداقية عمليات الاحتيال، وخداع المستخدمين المحليين لتثبيت التطبيق الضار.

تحدد ESET الإصدار الرئيسي من الفيروس باسم MSIL/BtmobRat، في حين يتم تصنيف متغيرات Android الخاصة به على أنها Android/Spy.Agent.EED وAndroid/Spy.Agent.EIJ وAndroid/Spy.Agent.EIK. وفي فبراير 2025، أعلنت شركة Cyble عن اكتشاف حوالي 15 عينة من الإصدار 2.5 من الفيروس خلال أسبوعين فقط، مما يسلط الضوء على نشاط البرنامج الضار وانتشاره السريع.

إجراءات الحماية والوقاية من الفيروس

التوصية الرئيسية لتجنب الإصابة بـBTMOB هي تنزيل التطبيقات حصريًا من خلال متجر Google Play الرسمي. تعد المواقع التي تقدم ملفات APK خارج هذا النظام الأساسي هي نقاط الدخول الرئيسية للفيروسات والتهديدات الرقمية الأخرى. يعد الحذر عند تثبيت التطبيقات من مصادر غير معروفة أمرًا ضروريًا لأمن الجهاز.

من الضروري توخي الحذر من الروابط التي يتم تلقيها عبر البريد الإلكتروني أو تطبيقات المراسلة مثل WhatsApp أو وسائل التواصل الاجتماعي أو الإعلانات عبر الإنترنت، حتى لو كانت تبدو وكأنها تأتي من مصادر مشروعة. يمكن أن يساعد الاستخدام المستمر لتطبيق الأمان على هاتفك في اكتشاف التهديدات وتحييدها قبل أن تسبب ضررًا. يجب على الشركات والمؤسسات تنفيذ سياسات الأمن السيبراني وتعزيزها، وتثقيف موظفيها بشأن الاحتياطات اللازمة، حيث يمكن أن يؤدي تنزيل برنامج ضار واحد إلى تعريض بيانات الشركة الحساسة للخطر.

• قم بتنزيل التطبيقات فقط من Google Play الرسمي.
• كن حذرًا من الروابط والمرفقات المشبوهة عبر البريد الإلكتروني أو WhatsApp أو وسائل التواصل الاجتماعي.
• احتفظ بتطبيق أمان محدث على هاتفك الخلوي.
• تحقق من الأذونات التي تطلبها التطبيقات الجديدة قبل منحها.
• إرشاد الموظفين إلى أفضل ممارسات الأمن السيبراني لحماية بيانات الشركة.

يعد الوعي بالمخاطر واعتماد التدابير الوقائية أمرًا ضروريًا لحماية المعلومات الشخصية والمهنية ضد التهديدات مثل BTMOB Rat. إن اليقظة المستمرة وتحديث برامج الأمان هي خط الدفاع الأكثر فعالية ضد هذه الهجمات المتطورة.