الكشف عن حملة الاحتيال في Lounge Pass: سارق الرسائل القصيرة المستهدف بنظام Android يستغل المسافرين الجويين
كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين الجويين في المطارات الهندية. تتضمن عملية الاحتيال تطبيق أندرويد ضار يسمى Lounge Pass، يتم توزيعه من خلال نطاقات وهمية مثل loungepass.in. يقوم هذا التطبيق باعتراض رسائل SMS وإعادة توجيهها سراً من أجهزة الضحايا إلى مجرمي الإنترنت، مما يؤدي إلى خسائر مالية كبيرة. كشف التحقيق أنه بين يوليو وأغسطس 2024، قام أكثر من 450 مسافرًا بتثبيت التطبيق الاحتيالي دون علمهم، مما أدى إلى الإبلاغ عن سرقة أكثر من 9 آلاف روبية هندية (حوالي 11000 دولار). استغل المحتالون نقطة نهاية Firebase المكشوفة لتخزين رسائل SMS المسروقة. من خلال تحليل المجال وبيانات DNS السلبية، حدد الباحثون العديد من المجالات ذات الصلة التي تنشر ملفات APK مماثلة. تشمل التوصيات الرئيسية تنزيل التطبيقات فقط من المتاجر الرسمية، وتجنب مسح رموز QR العشوائية، وعدم منح وصول الرسائل القصيرة إلى تطبيقات السفر أو الصالة. يجب على المسافرين حجز إمكانية الوصول إلى الصالة من خلال القنوات الرسمية والبقاء يقظين لحماية بياناتهم الشخصية. ابق على اطلاع بأحدث عمليات الاحتيال وقم بحماية بيانات السفر الخاصة بك باتباع هذه الإرشادات.
كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين جواً من خلال تطبيق Android احتيالي يسمى 'لاونج باس'. بدأ التحقيق بعد انتشار وسائل التواصل الاجتماعي بريد على X (تويتر سابقًا) بالتفصيل كيف وقعت امرأة ضحية لعملية الاحتيال في مطار بنغالور.
على عكس سارقي الرسائل القصيرة العاديين الذين غالبًا ما يتنكرون في صورة طلبات مصرفية أو قروض، تستهدف هذه الحملة المسافرين في المطار على وجه التحديد. يقوم التطبيق الضار، بمجرد تثبيته، بالتقاط وإعادة توجيه جميع رسائل SMS الواردة من جهاز الضحية إلى المحتالين.
من خلال تحقيق OSINT (الذكاء المفتوح المصدر) المكثف، حدد فريق البحث نطاقات متعددة مرتبطة بالاحتيال عبر نطاقات TLDs المختلفة. عند تحليل ملف APK الذي تمت هندسته بشكل عكسي، اكتشف الباحثون سهوًا مهمًا: فقد كشف المحتالون عن طريق الخطأ نقطة نهاية Firebase الخاصة بهم، والتي كانت تُستخدم لتخزين جميع رسائل SMS التي تم اعتراضها من الضحايا.
كشف تحليل البيانات المكشوفة عن النطاق المدمر لعملية الاحتيال هذه:
بين يوليو وأغسطس 2024، حوالي 450 قام المسافرون المطمئنون بتثبيت التطبيق الضار.
رسمت رسائل SMS التي تم اعتراضها صورة قاتمة، مما يدل على أن المحتالين قد سرقوا بنجاح 9 آلاف روبية هندية (حوالي 11,000 دولار) من ضحاياهم خلال هذه الفترة القصيرة.
من المحتمل أن يمثل هذا الرقم جزءًا فقط من إجمالي الأضرار، لأنه يشمل فقط الحالات الموثقة المرتبطة بنقطة النهاية المكشوفة الموجودة في كود سارق الرسائل القصيرة أثناء الإطار الزمني الذي تم تحليله.
تم توزيع ملفات APK المماثلة التي تحمل الاسم: LOUNGPASS في هذه الحملة
التحليل والإسناد
معلومات من X Post
استنادًا إلى الفيديو، لاحظنا أن عنوان URL (loungepass.in) لتنزيل APK تمت مشاركته عبر WhatsApp. بالإضافة إلى ذلك، كشفت لقطات شاشة WhatsApp عن العنوان فحص الدخول إلى صالة المطار. من خلال بيانات DNS السلبية وأوجه التشابه في الاستضافة، حددنا ثلاثة نطاقات ذات صلة، نعتقد أنها كانت جزءًا من نفس الحملة، واستضافتها على نفس عنوان IP لخادم الويب: 154.41.240.248
كشفت التحقيقات الإضافية باستخدام منصات مسح عناوين URL ذات المصادر الجماعية أن عناوين URL نفسها قد تم فحصها مسبقًا. ومن المثير للاهتمام أنه يبدو أن شخصًا ما قام أيضًا بمسح تطبيق Android الذي ذكره الضحايا في فيديو Twitter. هذا يؤكد صحة فرضيتنا فيما يتعلق بتوزيع APK من خلال هذه المجالات والروابط بين المجالات المكتشفة الأخرى.
يتم توزيع ملفات APK الضارة من خلال هذه المجالات، كما أكدتها منصات المسح الجماعي (urlscan.io)
معلومات من سارق الرسائل القصيرة المعكوس
بعد إجراء هندسة عكسية لسارق الرسائل القصيرة بنظام أندرويد LOUNGEPASS.apk (981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4)، كشفت الأذونات في ملف مانيفست عن النية الحقيقية لملف APK. كشفت التحليلات الإضافية عن أسرار مشفرة ونقطة نهاية URL لخدمة Firebase Messaging Service، مما أدى إلى كشف أجهزة الضحايا وتسهيل سرقة الأموال من خلال استغلال تسرب رسائل SMS من أرقام الضحايا.
تم الحصول على الإذن من قبل سارق الرسائل القصيرة
التوصيات
أولاً وقبل كل شيء، قم بتنزيل تطبيقات الوصول إلى الصالة فقط من مصادر موثوقة مثل متجر Google Play أو متجر تطبيقات Apple: تحقق دائمًا من تطابق اسم ناشر التطبيق مع الشركة الرسمية، وخذ الوقت الكافي لمراجعة تعليقات المستخدمين والتحقق من أرقام التنزيل قبل تثبيت أي تطبيق.
كن حذرًا عند مواجهة رموز QR في المطارات: تجنب مسح رموز QR العشوائية، لأنها قد تؤدي إلى تنزيلات ضارة أو عمليات احتيال. لا تقم مطلقًا بتنزيل التطبيقات عبر روابط APK المباشرة التي تتجاوز متاجر التطبيقات الرسمية، وإذا لم تكن متأكدًا، فاطلب دائمًا من موظفي المطار أو الصالة تأكيد شرعية أي رموز.
قم بحماية الوصول إلى الرسائل القصيرة الخاصة بك من خلال عدم منح أذونات الرسائل القصيرة لتطبيقات الصالة أو السفر: احذر من أي تطبيق يطلب الوصول إلى رسائلك، لأن تطبيقات الصالة الشرعية لا تحتاج إلى الوصول إلى الرسائل القصيرة. هذه خطوة حاسمة في منع الوصول غير المصرح به إلى معلوماتك الشخصية.
عند حجز الدخول إلى الصالة، استخدم القنوات الرسمية فقط مثل مزايا البنك أو بطاقة الائتمان الخاصة بك: احجز من خلال مواقع المطارات الرسمية أو الشركاء الموثوق بهم. إذا كانت لديك أي شكوك، فإن الحجز مباشرة في مكتب الصالة يعد دائمًا خيارًا آمنًا.
أخيرًا، من المهم مراقبة حساباتك بانتظام أثناء السفر: قم بتمكين التنبيهات المصرفية لأي معاملات وتحقق من حساباتك بشكل متكرر للتأكد من عدم وجود أي نشاط مشبوه. إذا لاحظت أي شيء غير عادي، فأبلغ البنك الخاص بك على الفور.
إذا قمت مؤخرًا بتثبيت أي تطبيقات متعلقة بالصالة، فراجع الأذونات الخاصة بها وقم بإزالة أي تطبيقات تبدو مشبوهة لحماية بياناتك. كن يقظًا وحدد أولويات سلامتك أثناء السفر.
يسلط هذا التقرير الاستشاري الضوء على الهجمات الأخيرة على البنوك الهندية، مع التركيز على اثنين من العوامل الرئيسية للهجوم: التوترات الجيوسياسية وسرقة أوراق الاعتماد وعمليات الاستحواذ على حسابات وسائل التواصل الاجتماعي.
كشفت أحدث أبحاث CloudSek عن اتجاه مقلق يشمل المحتالين الذين يستخدمون تقنية deepfake للترويج لتطبيقات الهاتف المحمول الاحتيالية. تم استهداف أفراد بارزين، مثل فيرات كوهلي وأنانت أمباني وحتى شخصيات دولية مثل كريستيانو رونالدو وريان رينولدز، من خلال مقاطع فيديو مزيفة. تُظهر هذه المقاطع التي تم التلاعب بها أنها تؤيد تطبيق ألعاب الهاتف المحمول، وتجذب المستخدمين المطمئنين إلى عمليات الاحتيال. تستفيد الإعلانات الاحتيالية من مصداقية القنوات الإخبارية الشهيرة لتعزيز شرعيتها، وتخدع المستخدمين لتنزيل تطبيقات ضارة من نطاقات وهمية تشبه Google Play أو Apple App Store. يستهدف هذا التهديد الناشئ بشكل خاص السوق الهندية ولكنه يمتد إلى مناطق أخرى مثل نيجيريا وباكستان وجنوب شرق آسيا. تتطلب تطبيقات الألعاب الخادعة، المصممة لسحب الأموال من المستخدمين، حدًا أدنى للإيداع، وتعدك بأرباح سريعة ولكنها تؤدي إلى خسائر مالية كبيرة. تستغل عمليات الاحتيال هذه مقاطع الفيديو المزيفة بطرق مبتكرة لتجاوز الاكتشاف، مما يجعلها أكثر خطورة. لمكافحة هذا التهديد المتزايد، يقدم Deep Fake Analyzer من CloudSek حلاً مجانيًا لمجتمع الأمن السيبراني، مما يساعد المحترفين على اكتشاف وتخفيف المخاطر التي تشكلها مقاطع الفيديو والصور والصوت التي تم التلاعب بها. هذه الأداة ضرورية لحماية المؤسسات من عمليات الاحتيال والاحتيال المتعلقة بالتزييف العميق. للوصول إلى محلل CloudSek العميق للتزييف، تفضل بزيارة https://community.cloudsek.com/
الكشف عن حملة الاحتيال في Lounge Pass: سارق الرسائل القصيرة المستهدف بنظام Android يستغل المسافرين الجويين
كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين الجويين في المطارات الهندية. تتضمن عملية الاحتيال تطبيق أندرويد ضار يسمى Lounge Pass، يتم توزيعه من خلال نطاقات وهمية مثل loungepass.in. يقوم هذا التطبيق باعتراض رسائل SMS وإعادة توجيهها سراً من أجهزة الضحايا إلى مجرمي الإنترنت، مما يؤدي إلى خسائر مالية كبيرة. كشف التحقيق أنه بين يوليو وأغسطس 2024، قام أكثر من 450 مسافرًا بتثبيت التطبيق الاحتيالي دون علمهم، مما أدى إلى الإبلاغ عن سرقة أكثر من 9 آلاف روبية هندية (حوالي 11000 دولار). استغل المحتالون نقطة نهاية Firebase المكشوفة لتخزين رسائل SMS المسروقة. من خلال تحليل المجال وبيانات DNS السلبية، حدد الباحثون العديد من المجالات ذات الصلة التي تنشر ملفات APK مماثلة. تشمل التوصيات الرئيسية تنزيل التطبيقات فقط من المتاجر الرسمية، وتجنب مسح رموز QR العشوائية، وعدم منح وصول الرسائل القصيرة إلى تطبيقات السفر أو الصالة. يجب على المسافرين حجز إمكانية الوصول إلى الصالة من خلال القنوات الرسمية والبقاء يقظين لحماية بياناتهم الشخصية. ابق على اطلاع بأحدث عمليات الاحتيال وقم بحماية بيانات السفر الخاصة بك باتباع هذه الإرشادات.
Get the latest industry news, threats and resources.
ملخص تنفيذي
كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين جواً من خلال تطبيق Android احتيالي يسمى 'لاونج باس'. بدأ التحقيق بعد انتشار وسائل التواصل الاجتماعي بريد على X (تويتر سابقًا) بالتفصيل كيف وقعت امرأة ضحية لعملية الاحتيال في مطار بنغالور.
على عكس سارقي الرسائل القصيرة العاديين الذين غالبًا ما يتنكرون في صورة طلبات مصرفية أو قروض، تستهدف هذه الحملة المسافرين في المطار على وجه التحديد. يقوم التطبيق الضار، بمجرد تثبيته، بالتقاط وإعادة توجيه جميع رسائل SMS الواردة من جهاز الضحية إلى المحتالين.
من خلال تحقيق OSINT (الذكاء المفتوح المصدر) المكثف، حدد فريق البحث نطاقات متعددة مرتبطة بالاحتيال عبر نطاقات TLDs المختلفة. عند تحليل ملف APK الذي تمت هندسته بشكل عكسي، اكتشف الباحثون سهوًا مهمًا: فقد كشف المحتالون عن طريق الخطأ نقطة نهاية Firebase الخاصة بهم، والتي كانت تُستخدم لتخزين جميع رسائل SMS التي تم اعتراضها من الضحايا.
كشف تحليل البيانات المكشوفة عن النطاق المدمر لعملية الاحتيال هذه:
بين يوليو وأغسطس 2024، حوالي 450 قام المسافرون المطمئنون بتثبيت التطبيق الضار.
رسمت رسائل SMS التي تم اعتراضها صورة قاتمة، مما يدل على أن المحتالين قد سرقوا بنجاح 9 آلاف روبية هندية (حوالي 11,000 دولار) من ضحاياهم خلال هذه الفترة القصيرة.
من المحتمل أن يمثل هذا الرقم جزءًا فقط من إجمالي الأضرار، لأنه يشمل فقط الحالات الموثقة المرتبطة بنقطة النهاية المكشوفة الموجودة في كود سارق الرسائل القصيرة أثناء الإطار الزمني الذي تم تحليله.
تم توزيع ملفات APK المماثلة التي تحمل الاسم: LOUNGPASS في هذه الحملة
التحليل والإسناد
معلومات من X Post
استنادًا إلى الفيديو، لاحظنا أن عنوان URL (loungepass.in) لتنزيل APK تمت مشاركته عبر WhatsApp. بالإضافة إلى ذلك، كشفت لقطات شاشة WhatsApp عن العنوان فحص الدخول إلى صالة المطار. من خلال بيانات DNS السلبية وأوجه التشابه في الاستضافة، حددنا ثلاثة نطاقات ذات صلة، نعتقد أنها كانت جزءًا من نفس الحملة، واستضافتها على نفس عنوان IP لخادم الويب: 154.41.240.248
كشفت التحقيقات الإضافية باستخدام منصات مسح عناوين URL ذات المصادر الجماعية أن عناوين URL نفسها قد تم فحصها مسبقًا. ومن المثير للاهتمام أنه يبدو أن شخصًا ما قام أيضًا بمسح تطبيق Android الذي ذكره الضحايا في فيديو Twitter. هذا يؤكد صحة فرضيتنا فيما يتعلق بتوزيع APK من خلال هذه المجالات والروابط بين المجالات المكتشفة الأخرى.
يتم توزيع ملفات APK الضارة من خلال هذه المجالات، كما أكدتها منصات المسح الجماعي (urlscan.io)
معلومات من سارق الرسائل القصيرة المعكوس
بعد إجراء هندسة عكسية لسارق الرسائل القصيرة بنظام أندرويد LOUNGEPASS.apk (981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4)، كشفت الأذونات في ملف مانيفست عن النية الحقيقية لملف APK. كشفت التحليلات الإضافية عن أسرار مشفرة ونقطة نهاية URL لخدمة Firebase Messaging Service، مما أدى إلى كشف أجهزة الضحايا وتسهيل سرقة الأموال من خلال استغلال تسرب رسائل SMS من أرقام الضحايا.
تم الحصول على الإذن من قبل سارق الرسائل القصيرة
التوصيات
أولاً وقبل كل شيء، قم بتنزيل تطبيقات الوصول إلى الصالة فقط من مصادر موثوقة مثل متجر Google Play أو متجر تطبيقات Apple: تحقق دائمًا من تطابق اسم ناشر التطبيق مع الشركة الرسمية، وخذ الوقت الكافي لمراجعة تعليقات المستخدمين والتحقق من أرقام التنزيل قبل تثبيت أي تطبيق.
كن حذرًا عند مواجهة رموز QR في المطارات: تجنب مسح رموز QR العشوائية، لأنها قد تؤدي إلى تنزيلات ضارة أو عمليات احتيال. لا تقم مطلقًا بتنزيل التطبيقات عبر روابط APK المباشرة التي تتجاوز متاجر التطبيقات الرسمية، وإذا لم تكن متأكدًا، فاطلب دائمًا من موظفي المطار أو الصالة تأكيد شرعية أي رموز.
قم بحماية الوصول إلى الرسائل القصيرة الخاصة بك من خلال عدم منح أذونات الرسائل القصيرة لتطبيقات الصالة أو السفر: احذر من أي تطبيق يطلب الوصول إلى رسائلك، لأن تطبيقات الصالة الشرعية لا تحتاج إلى الوصول إلى الرسائل القصيرة. هذه خطوة حاسمة في منع الوصول غير المصرح به إلى معلوماتك الشخصية.
عند حجز الدخول إلى الصالة، استخدم القنوات الرسمية فقط مثل مزايا البنك أو بطاقة الائتمان الخاصة بك: احجز من خلال مواقع المطارات الرسمية أو الشركاء الموثوق بهم. إذا كانت لديك أي شكوك، فإن الحجز مباشرة في مكتب الصالة يعد دائمًا خيارًا آمنًا.
أخيرًا، من المهم مراقبة حساباتك بانتظام أثناء السفر: قم بتمكين التنبيهات المصرفية لأي معاملات وتحقق من حساباتك بشكل متكرر للتأكد من عدم وجود أي نشاط مشبوه. إذا لاحظت أي شيء غير عادي، فأبلغ البنك الخاص بك على الفور.
إذا قمت مؤخرًا بتثبيت أي تطبيقات متعلقة بالصالة، فراجع الأذونات الخاصة بها وقم بإزالة أي تطبيقات تبدو مشبوهة لحماية بياناتك. كن يقظًا وحدد أولويات سلامتك أثناء السفر.