🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
14
mins read

الكشف عن حملة الاحتيال في Lounge Pass: سارق الرسائل القصيرة المستهدف بنظام Android يستغل المسافرين الجويين

كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين الجويين في المطارات الهندية. تتضمن عملية الاحتيال تطبيق أندرويد ضار يسمى Lounge Pass، يتم توزيعه من خلال نطاقات وهمية مثل loungepass.in. يقوم هذا التطبيق باعتراض رسائل SMS وإعادة توجيهها سراً من أجهزة الضحايا إلى مجرمي الإنترنت، مما يؤدي إلى خسائر مالية كبيرة. كشف التحقيق أنه بين يوليو وأغسطس 2024، قام أكثر من 450 مسافرًا بتثبيت التطبيق الاحتيالي دون علمهم، مما أدى إلى الإبلاغ عن سرقة أكثر من 9 آلاف روبية هندية (حوالي 11000 دولار). استغل المحتالون نقطة نهاية Firebase المكشوفة لتخزين رسائل SMS المسروقة. من خلال تحليل المجال وبيانات DNS السلبية، حدد الباحثون العديد من المجالات ذات الصلة التي تنشر ملفات APK مماثلة. تشمل التوصيات الرئيسية تنزيل التطبيقات فقط من المتاجر الرسمية، وتجنب مسح رموز QR العشوائية، وعدم منح وصول الرسائل القصيرة إلى تطبيقات السفر أو الصالة. يجب على المسافرين حجز إمكانية الوصول إلى الصالة من خلال القنوات الرسمية والبقاء يقظين لحماية بياناتهم الشخصية. ابق على اطلاع بأحدث عمليات الاحتيال وقم بحماية بيانات السفر الخاصة بك باتباع هذه الإرشادات.

كلاودسك ترياد
October 25, 2024
Green Alert
Last Update posted on
August 21, 2025
لا تدع علامتك التجارية تُستخدم للقبض على المستخدمين من خلال عناوين URL المزيفة وصفحات التصيد الاحتيالي

حدد الروابط الضارة ومحاولات التصيد الاحتيالي وواجهها بفعالية باستخدام CloudSek xvigil عناوين URL المزيفة ووحدة التصيد الاحتيالي، مما يعزز دفاعك ضد التهديدات الإلكترونية

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين جواً من خلال تطبيق Android احتيالي يسمى 'لاونج باس'. بدأ التحقيق بعد انتشار وسائل التواصل الاجتماعي بريد على X (تويتر سابقًا) بالتفصيل كيف وقعت امرأة ضحية لعملية الاحتيال في مطار بنغالور.

على عكس سارقي الرسائل القصيرة العاديين الذين غالبًا ما يتنكرون في صورة طلبات مصرفية أو قروض، تستهدف هذه الحملة المسافرين في المطار على وجه التحديد. يقوم التطبيق الضار، بمجرد تثبيته، بالتقاط وإعادة توجيه جميع رسائل SMS الواردة من جهاز الضحية إلى المحتالين.

من خلال تحقيق OSINT (الذكاء المفتوح المصدر) المكثف، حدد فريق البحث نطاقات متعددة مرتبطة بالاحتيال عبر نطاقات TLDs المختلفة. عند تحليل ملف APK الذي تمت هندسته بشكل عكسي، اكتشف الباحثون سهوًا مهمًا: فقد كشف المحتالون عن طريق الخطأ نقطة نهاية Firebase الخاصة بهم، والتي كانت تُستخدم لتخزين جميع رسائل SMS التي تم اعتراضها من الضحايا.

كشف تحليل البيانات المكشوفة عن النطاق المدمر لعملية الاحتيال هذه:

  • بين يوليو وأغسطس 2024، حوالي 450 قام المسافرون المطمئنون بتثبيت التطبيق الضار.
  • رسمت رسائل SMS التي تم اعتراضها صورة قاتمة، مما يدل على أن المحتالين قد سرقوا بنجاح 9 آلاف روبية هندية (حوالي 11,000 دولار) من ضحاياهم خلال هذه الفترة القصيرة.
  • من المحتمل أن يمثل هذا الرقم جزءًا فقط من إجمالي الأضرار، لأنه يشمل فقط الحالات الموثقة المرتبطة بنقطة النهاية المكشوفة الموجودة في كود سارق الرسائل القصيرة أثناء الإطار الزمني الذي تم تحليله.

تم توزيع ملفات APK المماثلة التي تحمل الاسم: LOUNGPASS في هذه الحملة

التحليل والإسناد

معلومات من X Post

استنادًا إلى الفيديو، لاحظنا أن عنوان URL (loungepass.in) لتنزيل APK تمت مشاركته عبر WhatsApp. بالإضافة إلى ذلك، كشفت لقطات شاشة WhatsApp عن العنوان فحص الدخول إلى صالة المطار. من خلال بيانات DNS السلبية وأوجه التشابه في الاستضافة، حددنا ثلاثة نطاقات ذات صلة، نعتقد أنها كانت جزءًا من نفس الحملة، واستضافتها على نفس عنوان IP لخادم الويب: 154.41.240.248

Domain Name Registrar Created Date Nameserver
loungepass[.]info HOSTINGER operations, UAB 2024-08-12 ns1.dns-parking.com, ns2.dns-parking.com
loungepass[.]online HOSTINGER operations, UAB 2024-03-27 NS2.DNS-PARKING.COM, NS1.DNS-PARKING.COM
loungepass[.]in HOSTINGER operations, UAB 2024-08-12 ns1.dns-parking.com, ns2.dns-parking.com

المجال الضار الذي قام بتوزيع SMS Steale

معلومات من OSINT

كشفت التحقيقات الإضافية باستخدام منصات مسح عناوين URL ذات المصادر الجماعية أن عناوين URL نفسها قد تم فحصها مسبقًا. ومن المثير للاهتمام أنه يبدو أن شخصًا ما قام أيضًا بمسح تطبيق Android الذي ذكره الضحايا في فيديو Twitter. هذا يؤكد صحة فرضيتنا فيما يتعلق بتوزيع APK من خلال هذه المجالات والروابط بين المجالات المكتشفة الأخرى.

يتم توزيع ملفات APK الضارة من خلال هذه المجالات، كما أكدتها منصات المسح الجماعي (urlscan.io)

معلومات من سارق الرسائل القصيرة المعكوس

بعد إجراء هندسة عكسية لسارق الرسائل القصيرة بنظام أندرويد LOUNGEPASS.apk (981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4)، كشفت الأذونات في ملف مانيفست عن النية الحقيقية لملف APK. كشفت التحليلات الإضافية عن أسرار مشفرة ونقطة نهاية URL لخدمة Firebase Messaging Service، مما أدى إلى كشف أجهزة الضحايا وتسهيل سرقة الأموال من خلال استغلال تسرب رسائل SMS من أرقام الضحايا.

تم الحصول على الإذن من قبل سارق الرسائل القصيرة

التوصيات

  • أولاً وقبل كل شيء، قم بتنزيل تطبيقات الوصول إلى الصالة فقط من مصادر موثوقة مثل متجر Google Play أو متجر تطبيقات Apple: تحقق دائمًا من تطابق اسم ناشر التطبيق مع الشركة الرسمية، وخذ الوقت الكافي لمراجعة تعليقات المستخدمين والتحقق من أرقام التنزيل قبل تثبيت أي تطبيق.
  • كن حذرًا عند مواجهة رموز QR في المطارات: تجنب مسح رموز QR العشوائية، لأنها قد تؤدي إلى تنزيلات ضارة أو عمليات احتيال. لا تقم مطلقًا بتنزيل التطبيقات عبر روابط APK المباشرة التي تتجاوز متاجر التطبيقات الرسمية، وإذا لم تكن متأكدًا، فاطلب دائمًا من موظفي المطار أو الصالة تأكيد شرعية أي رموز.
  • قم بحماية الوصول إلى الرسائل القصيرة الخاصة بك من خلال عدم منح أذونات الرسائل القصيرة لتطبيقات الصالة أو السفر: احذر من أي تطبيق يطلب الوصول إلى رسائلك، لأن تطبيقات الصالة الشرعية لا تحتاج إلى الوصول إلى الرسائل القصيرة. هذه خطوة حاسمة في منع الوصول غير المصرح به إلى معلوماتك الشخصية.
  • عند حجز الدخول إلى الصالة، استخدم القنوات الرسمية فقط مثل مزايا البنك أو بطاقة الائتمان الخاصة بك: احجز من خلال مواقع المطارات الرسمية أو الشركاء الموثوق بهم. إذا كانت لديك أي شكوك، فإن الحجز مباشرة في مكتب الصالة يعد دائمًا خيارًا آمنًا.
  • أخيرًا، من المهم مراقبة حساباتك بانتظام أثناء السفر: قم بتمكين التنبيهات المصرفية لأي معاملات وتحقق من حساباتك بشكل متكرر للتأكد من عدم وجود أي نشاط مشبوه. إذا لاحظت أي شيء غير عادي، فأبلغ البنك الخاص بك على الفور.
  • إذا قمت مؤخرًا بتثبيت أي تطبيقات متعلقة بالصالة، فراجع الأذونات الخاصة بها وقم بإزالة أي تطبيقات تبدو مشبوهة لحماية بياناتك. كن يقظًا وحدد أولويات سلامتك أثناء السفر.

المؤشرات

Type of Indicator Value
Android APK
8c3d6da8af8a4e0beb1e578d07fbc5527dbb960d6e23e39dadd422e4602ed521
981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4
2756a9b4e4e55f94622caca76e4583eaa8b98b577e5fcef1fd6b32a6333670f8
Domain
loungepass[.]info
loungepass[.]online
loungepass[.]in

المراجع

الملحق

منشور سريع الانتشار من X (وسائل التواصل الاجتماعي)

Author

كلاودسك ترياد

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Predict Cyber threats against your organization

Related Posts

تحذير بشأن تهديدات الأمن السيبراني: الهجمات الأخيرة التي تستهدف قطاع BFSI الهندي

يسلط هذا التقرير الاستشاري الضوء على الهجمات الأخيرة على البنوك الهندية، مع التركيز على اثنين من العوامل الرئيسية للهجوم: التوترات الجيوسياسية وسرقة أوراق الاعتماد وعمليات الاستحواذ على حسابات وسائل التواصل الاجتماعي.

الجدل العميق: يستخدم المحتالون التزييف العميق لفيرات كوهلي وأنانت أمباني للاحتيال

كشفت أحدث أبحاث CloudSek عن اتجاه مقلق يشمل المحتالين الذين يستخدمون تقنية deepfake للترويج لتطبيقات الهاتف المحمول الاحتيالية. تم استهداف أفراد بارزين، مثل فيرات كوهلي وأنانت أمباني وحتى شخصيات دولية مثل كريستيانو رونالدو وريان رينولدز، من خلال مقاطع فيديو مزيفة. تُظهر هذه المقاطع التي تم التلاعب بها أنها تؤيد تطبيق ألعاب الهاتف المحمول، وتجذب المستخدمين المطمئنين إلى عمليات الاحتيال. تستفيد الإعلانات الاحتيالية من مصداقية القنوات الإخبارية الشهيرة لتعزيز شرعيتها، وتخدع المستخدمين لتنزيل تطبيقات ضارة من نطاقات وهمية تشبه Google Play أو Apple App Store. يستهدف هذا التهديد الناشئ بشكل خاص السوق الهندية ولكنه يمتد إلى مناطق أخرى مثل نيجيريا وباكستان وجنوب شرق آسيا. تتطلب تطبيقات الألعاب الخادعة، المصممة لسحب الأموال من المستخدمين، حدًا أدنى للإيداع، وتعدك بأرباح سريعة ولكنها تؤدي إلى خسائر مالية كبيرة. تستغل عمليات الاحتيال هذه مقاطع الفيديو المزيفة بطرق مبتكرة لتجاوز الاكتشاف، مما يجعلها أكثر خطورة. لمكافحة هذا التهديد المتزايد، يقدم Deep Fake Analyzer من CloudSek حلاً مجانيًا لمجتمع الأمن السيبراني، مما يساعد المحترفين على اكتشاف وتخفيف المخاطر التي تشكلها مقاطع الفيديو والصور والصوت التي تم التلاعب بها. هذه الأداة ضرورية لحماية المؤسسات من عمليات الاحتيال والاحتيال المتعلقة بالتزييف العميق. للوصول إلى محلل CloudSek العميق للتزييف، تفضل بزيارة https://community.cloudsek.com/

الظل المصرفي في جيبك: فضح تطبيق Android الذي يستخدمه Money Mules

واصل فريق استخبارات التهديدات (TI) التابع لـ CloudSek تحقيقاته وكشف عن شبكة من البغال المالية، مما يشكل خطرًا كبيرًا على النظام المصرفي الهندي.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

احتيال
Table of Content

ملخص تنفيذي

كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين جواً من خلال تطبيق Android احتيالي يسمى 'لاونج باس'. بدأ التحقيق بعد انتشار وسائل التواصل الاجتماعي بريد على X (تويتر سابقًا) بالتفصيل كيف وقعت امرأة ضحية لعملية الاحتيال في مطار بنغالور.

على عكس سارقي الرسائل القصيرة العاديين الذين غالبًا ما يتنكرون في صورة طلبات مصرفية أو قروض، تستهدف هذه الحملة المسافرين في المطار على وجه التحديد. يقوم التطبيق الضار، بمجرد تثبيته، بالتقاط وإعادة توجيه جميع رسائل SMS الواردة من جهاز الضحية إلى المحتالين.

من خلال تحقيق OSINT (الذكاء المفتوح المصدر) المكثف، حدد فريق البحث نطاقات متعددة مرتبطة بالاحتيال عبر نطاقات TLDs المختلفة. عند تحليل ملف APK الذي تمت هندسته بشكل عكسي، اكتشف الباحثون سهوًا مهمًا: فقد كشف المحتالون عن طريق الخطأ نقطة نهاية Firebase الخاصة بهم، والتي كانت تُستخدم لتخزين جميع رسائل SMS التي تم اعتراضها من الضحايا.

كشف تحليل البيانات المكشوفة عن النطاق المدمر لعملية الاحتيال هذه:

  • بين يوليو وأغسطس 2024، حوالي 450 قام المسافرون المطمئنون بتثبيت التطبيق الضار.
  • رسمت رسائل SMS التي تم اعتراضها صورة قاتمة، مما يدل على أن المحتالين قد سرقوا بنجاح 9 آلاف روبية هندية (حوالي 11,000 دولار) من ضحاياهم خلال هذه الفترة القصيرة.
  • من المحتمل أن يمثل هذا الرقم جزءًا فقط من إجمالي الأضرار، لأنه يشمل فقط الحالات الموثقة المرتبطة بنقطة النهاية المكشوفة الموجودة في كود سارق الرسائل القصيرة أثناء الإطار الزمني الذي تم تحليله.

تم توزيع ملفات APK المماثلة التي تحمل الاسم: LOUNGPASS في هذه الحملة

التحليل والإسناد

معلومات من X Post

استنادًا إلى الفيديو، لاحظنا أن عنوان URL (loungepass.in) لتنزيل APK تمت مشاركته عبر WhatsApp. بالإضافة إلى ذلك، كشفت لقطات شاشة WhatsApp عن العنوان فحص الدخول إلى صالة المطار. من خلال بيانات DNS السلبية وأوجه التشابه في الاستضافة، حددنا ثلاثة نطاقات ذات صلة، نعتقد أنها كانت جزءًا من نفس الحملة، واستضافتها على نفس عنوان IP لخادم الويب: 154.41.240.248

Domain Name Registrar Created Date Nameserver
loungepass[.]info HOSTINGER operations, UAB 2024-08-12 ns1.dns-parking.com, ns2.dns-parking.com
loungepass[.]online HOSTINGER operations, UAB 2024-03-27 NS2.DNS-PARKING.COM, NS1.DNS-PARKING.COM
loungepass[.]in HOSTINGER operations, UAB 2024-08-12 ns1.dns-parking.com, ns2.dns-parking.com

المجال الضار الذي قام بتوزيع SMS Steale

معلومات من OSINT

كشفت التحقيقات الإضافية باستخدام منصات مسح عناوين URL ذات المصادر الجماعية أن عناوين URL نفسها قد تم فحصها مسبقًا. ومن المثير للاهتمام أنه يبدو أن شخصًا ما قام أيضًا بمسح تطبيق Android الذي ذكره الضحايا في فيديو Twitter. هذا يؤكد صحة فرضيتنا فيما يتعلق بتوزيع APK من خلال هذه المجالات والروابط بين المجالات المكتشفة الأخرى.

يتم توزيع ملفات APK الضارة من خلال هذه المجالات، كما أكدتها منصات المسح الجماعي (urlscan.io)

معلومات من سارق الرسائل القصيرة المعكوس

بعد إجراء هندسة عكسية لسارق الرسائل القصيرة بنظام أندرويد LOUNGEPASS.apk (981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4)، كشفت الأذونات في ملف مانيفست عن النية الحقيقية لملف APK. كشفت التحليلات الإضافية عن أسرار مشفرة ونقطة نهاية URL لخدمة Firebase Messaging Service، مما أدى إلى كشف أجهزة الضحايا وتسهيل سرقة الأموال من خلال استغلال تسرب رسائل SMS من أرقام الضحايا.

تم الحصول على الإذن من قبل سارق الرسائل القصيرة

التوصيات

  • أولاً وقبل كل شيء، قم بتنزيل تطبيقات الوصول إلى الصالة فقط من مصادر موثوقة مثل متجر Google Play أو متجر تطبيقات Apple: تحقق دائمًا من تطابق اسم ناشر التطبيق مع الشركة الرسمية، وخذ الوقت الكافي لمراجعة تعليقات المستخدمين والتحقق من أرقام التنزيل قبل تثبيت أي تطبيق.
  • كن حذرًا عند مواجهة رموز QR في المطارات: تجنب مسح رموز QR العشوائية، لأنها قد تؤدي إلى تنزيلات ضارة أو عمليات احتيال. لا تقم مطلقًا بتنزيل التطبيقات عبر روابط APK المباشرة التي تتجاوز متاجر التطبيقات الرسمية، وإذا لم تكن متأكدًا، فاطلب دائمًا من موظفي المطار أو الصالة تأكيد شرعية أي رموز.
  • قم بحماية الوصول إلى الرسائل القصيرة الخاصة بك من خلال عدم منح أذونات الرسائل القصيرة لتطبيقات الصالة أو السفر: احذر من أي تطبيق يطلب الوصول إلى رسائلك، لأن تطبيقات الصالة الشرعية لا تحتاج إلى الوصول إلى الرسائل القصيرة. هذه خطوة حاسمة في منع الوصول غير المصرح به إلى معلوماتك الشخصية.
  • عند حجز الدخول إلى الصالة، استخدم القنوات الرسمية فقط مثل مزايا البنك أو بطاقة الائتمان الخاصة بك: احجز من خلال مواقع المطارات الرسمية أو الشركاء الموثوق بهم. إذا كانت لديك أي شكوك، فإن الحجز مباشرة في مكتب الصالة يعد دائمًا خيارًا آمنًا.
  • أخيرًا، من المهم مراقبة حساباتك بانتظام أثناء السفر: قم بتمكين التنبيهات المصرفية لأي معاملات وتحقق من حساباتك بشكل متكرر للتأكد من عدم وجود أي نشاط مشبوه. إذا لاحظت أي شيء غير عادي، فأبلغ البنك الخاص بك على الفور.
  • إذا قمت مؤخرًا بتثبيت أي تطبيقات متعلقة بالصالة، فراجع الأذونات الخاصة بها وقم بإزالة أي تطبيقات تبدو مشبوهة لحماية بياناتك. كن يقظًا وحدد أولويات سلامتك أثناء السفر.

المؤشرات

Type of Indicator Value
Android APK
8c3d6da8af8a4e0beb1e578d07fbc5527dbb960d6e23e39dadd422e4602ed521
981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4
2756a9b4e4e55f94622caca76e4583eaa8b98b577e5fcef1fd6b32a6333670f8
Domain
loungepass[.]info
loungepass[.]online
loungepass[.]in

المراجع

الملحق

منشور سريع الانتشار من X (وسائل التواصل الاجتماعي)

كلاودسك ترياد
قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

قسم أبحاث التهديدات وتحليلات المعلومات في CloudSek

Related Blogs