اكتشف باحثون مؤخرا، أن حملة تخريبية رقمية خبيثة أطلق عليها اسم Roaming Mantis، وكانت تستهدف مناطق آسيوية في الغالب، بدأت تنتقل لتصيب أهدافا في الدول الغربية. ووجد خبراء كاسبرسكي أن الحملة التي تعمل على توسعة نطاق الإصابات عبر الرسائل النصية القصيرة التصيدية التي توجه المستخدمين إلى محتوى خبيث، بدأت تضرب أهدافا جديدة في ألمانيا وفرنسا. أساليب مختلفةوتنشر الجهة التخريبية التي تقف وراء الحملة برمجية خبيثة خاصة بالهواتف المحمولة، وصفحات تصيد لجمع المعلومات الخاصة بالمستهدفين من أجل سرقة أموالهم. ويرسل الجهاز المصاب بعد ذلك الرسائل النصية التصيدية التي تسمى SMiShing، إلى المجموعة التالية من الأهداف، كتلك الموجودة في قائمة جهات الاتصال.واكتشف باحثو كاسبرسكي في أبريل 2018، لأول مرة، البرمجية Roaming Mantis، التي استهدفت آنذاك الهواتف الذكية العاملة بنظام أندرويد فقط، وركزت نشاطها في مناطق آسيا، وبالتحديد كوريا الجنوبية وبنجلاديش واليابان.وسرعان ما تطورت الحملة بعد ذلك، فمنذ العام 2018 استخدمت العصابة أساليب هجوم مختلفة؛ مثل رسائل التصيد البريدية والتعدين والرسائل النصية القصيرة التصيدية واختراق DNS، كما وسعت حضورها الجغرافي بإضافة دول أوروبية إلى مناطقها المستهدفة.سيناريوهات التصيد وعادة ما تحتوي الرسائل النصية القصيرة التصيدية على وصف قصير جدا وعنوان URL لصفحة مقصودة، فإذا نقر المستخدم على الرابط وفتح الصفحة يحدث أحد سيناريوهين متبعين في الحملة التخريبية؛ الأول: إذا كان مستخدما لنظام التشغيل «آي أو أس»، يجري توجيهه إلى صفحة تصيد تحاكي موقع «آبل» الإلكتروني الرسمي ويطلب منه إدخال بيانات الاعتماد.أما في السيناريو الثاني، فيصاب جهاز «أندرويد» بالبرمجية الخبيثة. وتبدأ العصابة في إرسال مزيد من رسائل SMiShing إلى أهداف جديدة عبر الجهاز المصاب، وذلك من قائمة جهات اتصال المستخدم وأرقام هواتف يجري إنشاؤها. ولا يبدي متلقي الرسائل النصية حرصا كبيرا على اتقاء التهديدات، باعتبارها قناة اتصال تتسم بالطابع الشخصي، إذ لا يتوقع المستخدمون عادة تلقي رسائل خبيثة من أشخاص يعرفونهم. واتسمت هذه الحملة ضد مستخدمي «أندرويد» و«آي أو أس» في فرنسا وألمانيا بالنشاط إلى درجة أن الشرطة ووسائل الإعلام المحلية نشرت تنبيهات بشأن رسائل التصيد SMiShing.إقناع المستخدم وأعدت العصابة ميزة في البرمجية تمكنها من التحقق دائما من المنطقة التي يوجد بها جهاز «أندرويد» المصاب، لعرض الرسالة باللغة المناسبة.وقد استخدمت هذه الميزة في الإصدارات السابقة من الحملة للتحقق من ثلاث مناطق، تضمن هونج كونج وتايوان واليابان. ولاحظ خبراء كاسبرسكي تحديثا في الإصدار الأخير يتضمن إضافة ألمانيا وفرنسا إلى قائمة المناطق الجديدة التي يجري التحقق منها، ويتيح استخدام اللغة الأصلية للمناطق المستهدفة المجال أمام العصابة للتلاعب في تفكير المستخدم وإقناعه بمشاركة معلوماته الشخصية وتفاصيله المصرفية.تعديل جديدوثمة تعديل جديد حدث في الأوامر الواردة عبر المنفذ الخلفي، مقارنة بالإصدارات السابقة، إذ أضاف المطور أوامر لسرقة الصور من الأجهزة المصابة، إلا أنه لم يعثر على معلومات حول طرق استخدام الصور المسروقة، ولكن مجرمي الإنترنت غالبا ما يستخدمون الصور الشخصية للحصول على المال من خلال ابتزاز ضحاياهم.وأكد الباحث الأمني الأول في فريق البحث والتحليل العالمي التابع لكاسبرسكي، سوجورو إيشيمارو، أن حملة Roaming Mantis تطورت كثيرا على مدى السنوات الخمس الماضية، مشيرا إلى أنها ابتكرت طرقا جديدة للهجوم، وحرصت على التوسع في البلدان المستهدفة. وتوقع الخبير الأمني أن تستمر هذه الهجمات في العام 2022 بدافع من الرغبة القوية في الحصول على المال، خاصة مع ظهور مزايا المنفذ الخلفي الجديدة التي تسمح للعصابة التي تقف وراءها بالحصول على صور الضحايا، مستطردا: «ونحن نبحث باستمرار عن أحدث أنشطة هذه الحملة ونقوم بالإبلاغ عنها، حرصا منا على أمن المستخدمين في أنحاء العالم».تدقيق ضروريوأوصت كاسبرسكي المستخدمين بعدم النقر على عناوين URL المشبوهة المرسلة في رسائل «أس إم أس»، حتى إذا بدت الرسالة غير مريبة، يجب التحقق من اسم نطاق عنوان URL قبل الوصول إليها، لحماية أنفسهم من هجمات Roaming Mantis، مضيفا: حتى إذا وصلت رسالة نصية أو بريد إلكتروني من أحد الأشخاص المقربين، فتذكر أنه من الممكن أيضا أن تكون حساباتهم تعرضت للاختراق، فكن حذرا دائما، وتعامل مع الروابط والمرفقات باهتمام حتى إذا بدت الرسالة ودية.وشددت على أن الرسائل الواردة من الجهات الرسمية كالبنوك ووكالات الضريبة ومتاجر التسوق الرقمية ووكالات السفر وشركات الطيران وما إلى ذلك، تتطلب أيضا التدقيق، بل وحتى الرسائل الداخلية الواردة من شركتك، فليس من الصعب اختلاق رسالة مزيفة تبدو حقيقية، مؤكدا ضرورة تجنب تثبيت تطبيقات من مصادر غير موثوق بها.