تحذير لمستخدمي أندرويد: هجوم جديد يسرق العملات المشفرة

كشف باحثون أمنيون في جامعة كارنيجي ميلون عن ثغرة جديدة في أندرويد تسمح للقراصنة بسرقة بيانات حساسة من الشاشة، بما فيها عبارات الاسترداد لمحافظ العملات المشفرة ورموز المصادقة الثنائية، دون صلاحيات خاصة.

يستهدف الهجوم المسمى “بيكسنابينغ” أجهزة جوجل وسامسونغ، ويستخدم تقنية جانبية معروفة سابقاً تسمى GPU.zip.

يبدأ الهجوم عند تثبيت تطبيق خبيث يستدعي سراً تطبيقاً آخر كمحفظة العملات أو تطبيق المصادقة لاستخراج البيانات منه. يتلاعب البرنامج بالعمليات الرسومية على وحدات البكسل التي تعرض المعلومات الحساسة، ويعيد بناءها واحدة تلو الأخرى عبر تحليل التوقيت.

يستخدم الهجوم واجهة تمويه النوافذ في أندرويد لإجبار وحدات البكسل الحساسة على دخول خط المعالجة الرسومية، مع قياس وقت عرض إطارات معينة. تكشف أنماط التوقيت عن قيمة لون كل بكسل، مما يسمح بإعادة بناء البيانات الحساسة.

نجح الهجوم على أجهزة جوجل بيكسل من الإصدار السادس حتى التاسع، وجهاز سامسونغ جالاكسي إس 25، التي تعمل بنظام أندرويد من الإصدار 13 حتى 16.

أظهرت الاختبارات استرداد رموز المصادقة الثنائية من تطبيق جوجل أوثنتيكيتور بنسب نجاح بين 29% و73%. استغرق استرداد رمز كامل من ستة أرقام أقل من 30 ثانية في المتوسط.

رغم أن استرداد عبارات الاسترداد الطويلة يستغرق وقتاً أطول، تبقى عبارات محافظ العملات عرضة للخطر إذا ظلت مرئية أثناء تدوينها، حيث تبقى على الشاشة لفترة أطول.

تم الإبلاغ عن الثغرة المصنفة CVE-2025-48561 لشركة جوجل في فبراير 2025. صدر تحديث جزئي في سبتمبر، لكن الباحثين وجدوا طريقة للالتفاف عليه. أقرت جوجل بخطورة المشكلة وتعمل على إصلاح ثانٍ متوقع في ديسمبر.

استخرج الباحثون بيانات حساسة من محافظ العملات وتطبيقات مثل جي ميل وسيجنال وفينمو وخرائط جوجل. نظراً لاستهداف الهجوم للمحتوى المرئي على الشاشة، تفشل حتى إجراءات العزل الصارمة في صده.

ينصح خبراء الأمن مستخدمي العملات بتجنب عرض عبارات الاسترداد أو رموز المصادقة على الأجهزة المتصلة بالإنترنت، واستخدام المحافظ الفعلية التي تخزن المفاتيح دون اتصال.

شهدت برمجيات أندرويد الخبيثة ارتفاعاً مقلقاً. كشف الباحثون في أبريل عن “كروكوديلوس”، حصان طروادة يستهدف مستخدمي المحافظ في تركيا وإسبانيا. يتنكر البرنامج كتطبيقات شرعية، ويخدع الضحايا لكشف عبارات الاسترداد عبر تنبيهات أمنية مزيفة.

يستغل البرنامج خدمات إمكانية الوصول في أندرويد لسرقة كلمات المرور واعتراض رموز المصادقة والتقاط بيانات المحافظ، بينما يخفي نشاطه خلف شاشة سوداء.

ينتشر كروكوديلوس عبر رسائل التصيد والمواقع المخترقة والإعلانات الخبيثة، مما يصعب تتبعه.

حذرت شركة دارك تريس من حملات برمجيات خبيثة مرتبطة بشركات ناشئة مزيفة في مجالات الذكاء الاصطناعي والألعاب، تستخدم عائلات برمجيات خبيثة مثل ريلست وأتوميك ستيلر القادرة على سرقة بيانات المحافظ على ويندوز وماك.

ينصح الخبراء بالتحقق من مصداقية المشاريع وتجنب تنزيل البرامج من مصادر غير موثوقة والحذر من العروض غير المطلوبة.

لمشاهدة المزيد من أخبار العملات الرقمية