الكشف عن حملة الاحتيال في Lounge Pass: سارق الرسائل القصيرة المستهدف بنظام Android يستغل المسافرين الجويين

كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين الجويين في المطارات الهندية. تتضمن عملية الاحتيال تطبيق أندرويد ضار يسمى Lounge Pass، يتم توزيعه من خلال نطاقات وهمية مثل loungepass.in. يقوم هذا التطبيق باعتراض رسائل SMS وإعادة توجيهها سراً من أجهزة الضحايا إلى مجرمي الإنترنت، مما يؤدي إلى خسائر مالية كبيرة. كشف التحقيق أنه بين يوليو وأغسطس 2024، قام أكثر من 450 مسافرًا بتثبيت التطبيق الاحتيالي دون علمهم، مما أدى إلى الإبلاغ عن سرقة أكثر من 9 آلاف روبية هندية (حوالي 11000 دولار). استغل المحتالون نقطة نهاية Firebase المكشوفة لتخزين رسائل SMS المسروقة. من خلال تحليل المجال وبيانات DNS السلبية، حدد الباحثون العديد من المجالات ذات الصلة التي تنشر ملفات APK مماثلة. تشمل التوصيات الرئيسية تنزيل التطبيقات فقط من المتاجر الرسمية، وتجنب مسح رموز QR العشوائية، وعدم منح وصول الرسائل القصيرة إلى تطبيقات السفر أو الصالة. يجب على المسافرين حجز إمكانية الوصول إلى الصالة من خلال القنوات الرسمية والبقاء يقظين لحماية بياناتهم الشخصية. ابق على اطلاع بأحدث عمليات الاحتيال وقم بحماية بيانات السفر الخاصة بك باتباع هذه الإرشادات.

كلاودسك ترياد

October 25, 2024

ملخص تنفيذي

كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين جواً من خلال تطبيق Android احتيالي يسمى 'لاونج باس'. بدأ التحقيق بعد انتشار وسائل التواصل الاجتماعي بريد على X (تويتر سابقًا) بالتفصيل كيف وقعت امرأة ضحية لعملية الاحتيال في مطار بنغالور.

على عكس سارقي الرسائل القصيرة العاديين الذين غالبًا ما يتنكرون في صورة طلبات مصرفية أو قروض، تستهدف هذه الحملة المسافرين في المطار على وجه التحديد. يقوم التطبيق الضار، بمجرد تثبيته، بالتقاط وإعادة توجيه جميع رسائل SMS الواردة من جهاز الضحية إلى المحتالين.

من خلال تحقيق OSINT (الذكاء المفتوح المصدر) المكثف، حدد فريق البحث نطاقات متعددة مرتبطة بالاحتيال عبر نطاقات TLDs المختلفة. عند تحليل ملف APK الذي تمت هندسته بشكل عكسي، اكتشف الباحثون سهوًا مهمًا: فقد كشف المحتالون عن طريق الخطأ نقطة نهاية Firebase الخاصة بهم، والتي كانت تُستخدم لتخزين جميع رسائل SMS التي تم اعتراضها من الضحايا.

‍

كشف تحليل البيانات المكشوفة عن النطاق المدمر لعملية الاحتيال هذه:

بين يوليو وأغسطس 2024، حوالي 450 قام المسافرون المطمئنون بتثبيت التطبيق الضار.
رسمت رسائل SMS التي تم اعتراضها صورة قاتمة، مما يدل على أن المحتالين قد سرقوا بنجاح 9 آلاف روبية هندية (حوالي 11,000 دولار) من ضحاياهم خلال هذه الفترة القصيرة.
من المحتمل أن يمثل هذا الرقم جزءًا فقط من إجمالي الأضرار، لأنه يشمل فقط الحالات الموثقة المرتبطة بنقطة النهاية المكشوفة الموجودة في كود سارق الرسائل القصيرة أثناء الإطار الزمني الذي تم تحليله.

‍

*تم توزيع ملفات APK المماثلة التي تحمل الاسم: LOUNGPASS في هذه الحملة*

‍

التحليل والإسناد

معلومات من X Post

استنادًا إلى الفيديو، لاحظنا أن عنوان URL (loungepass.in) لتنزيل APK تمت مشاركته عبر WhatsApp. بالإضافة إلى ذلك، كشفت لقطات شاشة WhatsApp عن العنوان فحص الدخول إلى صالة المطار. من خلال بيانات DNS السلبية وأوجه التشابه في الاستضافة، حددنا ثلاثة نطاقات ذات صلة، نعتقد أنها كانت جزءًا من نفس الحملة، واستضافتها على نفس عنوان IP لخادم الويب: 154.41.240.248

‍

Domain Name	Registrar	Created Date	Nameserver
loungepass[.]info	HOSTINGER operations, UAB	2024-08-12	ns1.dns-parking.com, ns2.dns-parking.com
loungepass[.]online	HOSTINGER operations, UAB	2024-03-27	NS2.DNS-PARKING.COM, NS1.DNS-PARKING.COM
loungepass[.]in	HOSTINGER operations, UAB	2024-08-12	ns1.dns-parking.com, ns2.dns-parking.com

‍

*المجال الضار الذي قام بتوزيع SMS Steale*

‍

معلومات من OSINT

كشفت التحقيقات الإضافية باستخدام منصات مسح عناوين URL ذات المصادر الجماعية أن عناوين URL نفسها قد تم فحصها مسبقًا. ومن المثير للاهتمام أنه يبدو أن شخصًا ما قام أيضًا بمسح تطبيق Android الذي ذكره الضحايا في فيديو Twitter. هذا يؤكد صحة فرضيتنا فيما يتعلق بتوزيع APK من خلال هذه المجالات والروابط بين المجالات المكتشفة الأخرى.

‍

يتم توزيع ملفات APK الضارة من خلال هذه المجالات، كما أكدتها منصات المسح الجماعي (urlscan.io)

‍

معلومات من سارق الرسائل القصيرة المعكوس

بعد إجراء هندسة عكسية لسارق الرسائل القصيرة بنظام أندرويد LOUNGEPASS.apk (981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4)، كشفت الأذونات في ملف مانيفست عن النية الحقيقية لملف APK. كشفت التحليلات الإضافية عن أسرار مشفرة ونقطة نهاية URL لخدمة Firebase Messaging Service، مما أدى إلى كشف أجهزة الضحايا وتسهيل سرقة الأموال من خلال استغلال تسرب رسائل SMS من أرقام الضحايا.

‍

*تم الحصول على الإذن من قبل سارق الرسائل القصيرة*

‍

التوصيات

أولاً وقبل كل شيء، قم بتنزيل تطبيقات الوصول إلى الصالة فقط من مصادر موثوقة مثل متجر Google Play أو متجر تطبيقات Apple: تحقق دائمًا من تطابق اسم ناشر التطبيق مع الشركة الرسمية، وخذ الوقت الكافي لمراجعة تعليقات المستخدمين والتحقق من أرقام التنزيل قبل تثبيت أي تطبيق.
كن حذرًا عند مواجهة رموز QR في المطارات: تجنب مسح رموز QR العشوائية، لأنها قد تؤدي إلى تنزيلات ضارة أو عمليات احتيال. لا تقم مطلقًا بتنزيل التطبيقات عبر روابط APK المباشرة التي تتجاوز متاجر التطبيقات الرسمية، وإذا لم تكن متأكدًا، فاطلب دائمًا من موظفي المطار أو الصالة تأكيد شرعية أي رموز.
قم بحماية الوصول إلى الرسائل القصيرة الخاصة بك من خلال عدم منح أذونات الرسائل القصيرة لتطبيقات الصالة أو السفر: احذر من أي تطبيق يطلب الوصول إلى رسائلك، لأن تطبيقات الصالة الشرعية لا تحتاج إلى الوصول إلى الرسائل القصيرة. هذه خطوة حاسمة في منع الوصول غير المصرح به إلى معلوماتك الشخصية.
عند حجز الدخول إلى الصالة، استخدم القنوات الرسمية فقط مثل مزايا البنك أو بطاقة الائتمان الخاصة بك: احجز من خلال مواقع المطارات الرسمية أو الشركاء الموثوق بهم. إذا كانت لديك أي شكوك، فإن الحجز مباشرة في مكتب الصالة يعد دائمًا خيارًا آمنًا.‍
أخيرًا، من المهم مراقبة حساباتك بانتظام أثناء السفر: قم بتمكين التنبيهات المصرفية لأي معاملات وتحقق من حساباتك بشكل متكرر للتأكد من عدم وجود أي نشاط مشبوه. إذا لاحظت أي شيء غير عادي، فأبلغ البنك الخاص بك على الفور.
إذا قمت مؤخرًا بتثبيت أي تطبيقات متعلقة بالصالة، فراجع الأذونات الخاصة بها وقم بإزالة أي تطبيقات تبدو مشبوهة لحماية بياناتك. كن يقظًا وحدد أولويات سلامتك أثناء السفر.

‍

المؤشرات

Type of Indicator	Value
Android APK	8c3d6da8af8a4e0beb1e578d07fbc5527dbb960d6e23e39dadd422e4602ed521
	981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4
	2756a9b4e4e55f94622caca76e4583eaa8b98b577e5fcef1fd6b32a6333670f8
Domain	loungepass[.]info
	loungepass[.]online
	loungepass[.]in