ذكاء البرامج الضارة

سعر الثقة: تحليل حملة البرامج الضارة التي تستغل إرث TASPEN لاستهداف كبار السن الإندونيسيين

تستغل مجموعة تهديد ناطقة باللغة الصينية صندوق التقاعد الحكومي في إندونيسيا، TASPEN، لإطلاق حملة برامج ضارة متطورة للأجهزة المحمولة تستهدف كبار السن. يتنكر برنامج التجسس في هيئة تطبيق رسمي، ويسرق بيانات الاعتماد المصرفية، وعمليات OTP، وحتى البيانات البيومترية، مما يتيح الاحتيال على نطاق واسع. بالإضافة إلى الخسارة المالية، يؤدي الهجوم إلى تآكل ثقة الجمهور، ويهدد التحول الرقمي في إندونيسيا، ويشكل سابقة خطيرة لهجمات صناديق التقاعد في جميع أنحاء جنوب شرق آسيا.

August 27, 2025

min

Table of Content

Example H2

1. ملخص تنفيذي

تعمل حملة البرامج الضارة للأجهزة المحمولة المتطورة والمستهدفة للغاية على الاستفادة بنشاط من العلامة التجارية الموثوقة لصندوق التقاعد الحكومي في إندونيسيا، PT دانا تابونجان وأسورانسي بيجاواي نيجيري (بيرسيرو)، المعروف أيضًا باسم أسبن، لتنفيذ عملية سرقة البيانات الكاملة والاحتيال المالي ضد المتقاعدين وموظفي الخدمة المدنية في البلاد. تستخدم هذه العملية تطبيق Android الضار المضمن مع أحصنة طروادة المصرفية/برامج التجسس، والتي يتم إخفاؤها بدقة كبوابة TASPEN الرسمية، لسرقة مجموعة واسعة من المعلومات الحساسة، بما في ذلك بيانات الاعتماد المصرفية وكلمات المرور لمرة واحدة (OTPs) من رسائل SMS وحتى البيانات البيومترية من خلال التقاط الفيديو بالوجه.

‍

تبدأ سلسلة الهجوم بموقع إلكتروني للتصيد الاحتيالي تم تصميمه بعناية ينتحل بشكل مثالي صورة صفحة تنزيل التطبيق الرسمية، باستخدام العلامة التجارية وشعارات TASPEN في لغة البهاسا الإندونيسية لبناء شعور زائف بالأمان. بمجرد إغراء الضحية لتثبيت حزمة التطبيقات الضارة (APK)، تستخدم البرامج الضارة تقنيات التهرب المتقدمة لتظل غير مكتشفة.

‍

بمجرد تنشيط البرنامج الضار على الجهاز، يقوم بإنشاء اتصال دائم ومشفر مع البنية التحتية لخادم الأوامر والتحكم عن بُعد (C2). يتيح ذلك للمهاجمين تصفية البيانات المسروقة في الوقت الفعلي، ومراقبة نشاط المستخدم من خلال تسجيل الشاشة، وإصدار أوامر عن بُعد لتنفيذ المعاملات الاحتيالية. تشير الآثار التقنية الموجودة داخل شبكة توزيع البرامج الضارة وقنوات الاتصال، بما في ذلك رسائل الخطأ وتعليقات المطورين المكتوبة باللغة الصينية المبسطة، بقوة إلى مشاركة مجموعة من الجهات الفاعلة في مجال التهديد جيدة التنظيم والناطقة باللغة الصينية.

‍

إن نجاح هذا النموذج يخلق سابقة خطيرة، حيث يوفر مخططًا جاهزًا لهجمات مماثلة ضد المؤسسات المالية والعامة الإندونيسية الهامة الأخرى.

‍

يقدم هذا التقرير تشريحًا تفصيليًا لتكتيكات المهاجمين وتقنياتهم وإجراءاتهم (TTPs). يحلل القدرات التقنية للبرامج الضارة، ويقيم الآثار التجارية والمجتمعية بعيدة المدى، ويختتم بمجموعة من التوصيات الاستراتيجية للدفاع المنسق بين أصحاب المصلحة المتعددين لحماية مواطني إندونيسيا ومستقبلها الرقمي.

‍

2. سياق التهديد الإندونيسي وناقل الهجوم

2.1. الأهمية الاستراتيجية لـ TAPSEN والتحول الرقمي في إندونيسيا

‍

‍

PT دانا تابونغان وأسورانسي بيغاواي نيجيري (بيرسيرو) (TASPEN) هو حجر الزاوية في جهاز الضمان الاجتماعي في إندونيسيا. تأسست في عام 1963، ونمت لتصبح مؤسسة مالية ضخمة تدير أصولًا تقدر قيمتها بأكثر من 15.9 مليار دولار أمريكي. وهي مسؤولة عن صناديق التقاعد لملايين موظفي الخدمة المدنية وموظفي الشركات المملوكة للدولة، مما يجعلها عنصرًا أساسيًا في الاستقرار المالي للبلاد ونظام الرفاهية العامة.

‍

وتتكون قاعدة مستخدميها إلى حد كبير من المتقاعدين، وهي فئة ديموغرافية يتم تشجيعها بشكل متزايد على اعتماد الخدمات الرقمية لإدارة المعاشات التقاعدية والمصادقة والتواصل. في الوقت الذي تسعى فيه الحكومة الإندونيسية بقوة إلى تحقيق أجندة التحول الرقمي، أصبحت منصات مثل TASPEN بنية تحتية مهمة لخدمات المواطنين. على الرغم من أن هذا التحول الرقمي مفيد، إلا أنه يخلق في الوقت نفسه هدفًا مركّزًا عالي القيمة لمجرمي الإنترنت. إن الحجم المالي الهائل لـ TASPEN، جنبًا إلى جنب مع الثقة المتأصلة التي يضعها المواطنون - وخاصة كبار السن - في هذه العلامة التجارية الحكومية طويلة الأمد، يجعلها هدفًا جذابًا بشكل فريد لهجمات انتحال الشخصية. إن الهجوم على TASPEN ليس مجرد هجوم على الأفراد؛ إنه هجوم على الأمن والموثوقية المتصورين لنظام الخدمة العامة الرقمي بأكمله في إندونيسيا.

‍

2.2. دورة حياة الهجوم: نظرة عامة عالية المستوى

وتتبع الحملة دورة حياة واضحة متعددة المراحل مصممة لتحقيق أقصى قدر من التأثير والحد الأدنى من الاكتشاف.

‍

أنشأ الخصوم بنية تحتية للتصيد الاحتيالي وانتحلوا شخصية TASPEN نظرًا لاستخدامها على نطاق واسع في إندونيسيا والضحايا المستهدفون هم من كبار السن.
يشعر كبار السن دون علمهم بأنهم ضحية للحملة، عن طريق تنزيل تطبيق الهاتف المحمول الضار من النطاق المزيف، والذي تم تعزيزه بواسطة تحسين محركات البحث.
عند التنفيذ، يقوم التطبيق الضار بجمع بيانات الضحايا ويحاول أيضًا تثبيت Banking Trojan Malware على هواتفهم المحمولة، والتي تلتقط البيانات الحساسة الأخرى الموجودة في تطبيقات الهاتف.
سيتم تسريب البيانات المحصودة إلى خادم C2 للخصوم، والذي سيتم بيعه إما في أسواق darknet أو سيتم استخدامه لأغراض ضارة أخرى من قبل الخصوم.

‍

2.3. تشريح الهجوم - المرحلة 1: التوزيع المخادع

بدأت الجهات الفاعلة في مجال التهديد الحملة باستخدام استراتيجية هندسة اجتماعية مقنعة للغاية.

‍

‍

مجال التصيد الاحتيالي: متجه التوزيع الأساسي هو موقع الويب https://taspen[.]ahngo[.]cc/. تم تصميم النطاق نفسه ليبدو معقولاً للمستخدم العادي. يعد موقع الويب استنساخًا بسيطًا ولكنه فعال للصفحة المقصودة الشرعية لتطبيق الهاتف المحمول.
الهندسة الاجتماعية المحلية: تعرض الصفحة بشكل بارز العلامة التجارية الرسمية لـ TASPEN وتستخدم الشعار الإندونيسي «Aplikasi Andal, semakin mudah bersama TASPEN» («تطبيق موثوق به وأسهل مع TASPEN») لتعزيز أصالته وبناء الثقة مع الفئة السكانية المستهدفة.
الأزرار المسلحة والمخادعة: يعرض الموقع أزرار Google Play و Apple App Store المألوفة. تم تسليح زر Google Play لبدء التنزيل المباشر لملف APK الضار، بينما يعمل زر App Store كشرك ذكي، حيث يعرض تنبيهًا باللغة الإندونيسية: «Sistem sedang ditingkatkan» («تتم ترقية النظام»). هذا يمنع مستخدمي iOS من الإبلاغ عن رابط معطل ويعزز الشرعية لمستخدمي Android.
التشويش الفني: يتم إخفاء المنطق الضار لموقع الويب عن قصد. يستخدم JavaScript لجلب حمولة مشفرة بـ Base64 من عنوان URL ثانوي (/x/p/الصفحة). تحتوي هذه الحمولة، بمجرد فك تشفيرها، على وظيفة التنزيل الحقيقية. هذه العملية متعددة الخطوات هي تكتيك متعمد لإحباط ماسحات الويب الآلية البسيطة.

‍

3. الغوص التقني العميق: تحليل البرامج الضارة

3.1. تفكيك التهديد: تجاوز الدفاعات الثابتة باستخدام DPT-shell

فشلت المحاولات الأولية لتحليل APK الضار باستخدام أدوات الأمان القياسية، حيث بدا التطبيق تالفًا. هذا هو نتيجة تقنية التهرب المتعمد المعروفة باسم التعبئة.

‍

التعبئة DEX: تتم حماية البرامج الضارة بواسطة DPT-shell، وهو برنامج مفتوح المصدر لبرنامج Android shell Packer. تقوم هذه الأداة بتشفير أو إخفاء الكود الأساسي القابل للتنفيذ للتطبيق (ملفات.dex)، وتغليفه في أداة التحميل «shell».

‍

استخراج الحمولة الصافية في وقت التشغيل: عندما يقوم المستخدم بتشغيل التطبيق، يتم تنفيذ كود DPT-shell أولاً. يقوم بفك تشفير الحمولة المخفية في الذاكرة ويكتبها إلى دليل code_cache الخاص بالتطبيق. يتم إسقاط الحمولة كأرشيف ZIP (يسمى i111111.zip)، والذي يحتوي على ملفات.dex الحقيقية والخبيثة. وهذا يضمن عرض الوظائف الحقيقية للبرامج الضارة فقط على جهاز مباشر، مما يؤدي إلى هزيمة محركات التحليل الثابتة.

‍

3.2. قدرات المراقبة ذات الطيف الكامل

بمجرد فك حزمها، تكشف البرامج الضارة عن نفسها على أنها أداة تجسس معيارية مع مجموعة واسعة من القدرات التدخلية التي تتم إدارتها من خلال خدمات الخلفية.

Malware Components and Their Threat Impact

Malware Component	Functionality & Purpose	Threat Impact
SmsService	A persistent background service dedicated to intercepting all incoming SMS messages. It can read, send, and monitor messages without user interaction.	Enables the theft of One-Time Passwords (OTPs) for bypassing two-factor authentication, facilitating fraudulent bank transfers.
ScreenRecordService	A background service that can initiate screen recording sessions at any time, allowing attackers to visually monitor all user activity in real time.	Captures credentials being typed into legitimate banking apps, views personal messages, and records other sensitive on-screen interactions.
CameraService	Provides extensive functionality for facial video operations. It can start facial recording, compress the captured video, and manage its upload to the C2 server.	Steals biometric data, which can be used to defeat modern authentication systems or for deepfake-based identity fraud.
ContactData Class	A data structure designed to collect and store the victim's entire address book, including names, phone numbers, email addresses, and call history.	Used for large-scale profiling, intelligence gathering, and launching further phishing attacks against the victim's contacts.

‍

4. الأوامر والتحكم وتسلل البيانات

البنية التحتية للاتصالات الخاصة بالبرامج الضارة قوية ومشفرة ومصممة للتحكم الخفي في الوقت الفعلي وتسريب البيانات.

4.1. العمود الفقري للاتصالات

تصفية بيانات الاعتماد المشفرة: عندما يقوم المستخدم بإدخال بيانات الاعتماد، ترسل البرامج الضارة طلب HTTP POST إلى rpc.syids.top/x/login. الحمولة مشفرة بالكامل. يقوم الخادم بإرجاع خطأ HTTP 400 «Bad Request» برسالة إندونيسية («معلوماتك غير صحيحة...») لجعل عملية التسلل تظهر كمحاولة بسيطة فاشلة لتسجيل الدخول.

قناة WebSocket في الوقت الفعلي: بالنسبة إلى C2 الدائم والفوري، تستخدم البرامج الضارة اتصال WebSocket. يكشف ملف التكوين (LyBW_sp.xml) عن نقطة النهاية: wss: //rpc.syids.top/x/command. يسمح هذا للمهاجمين بدفع الأوامر إلى الجهاز على الفور، وهي طريقة أكثر فعالية بكثير من الاقتراع التقليدي.

‍

4.2. أدلة الإسناد: اتباع المسار اللغوي

تشير الأدلة بقوة إلى خصم يتحدث الصينية. يعتمد هذا التقييم على مؤشرات لغوية متعددة ومستقلة:

موقع التصيد الاحتيالي: تحتوي جافا سكريبت على رسالة الخطأ («فشل جلب البيانات»).
خادم ويب سوكيت C2: أدت محاولات الاتصال اليدوي إلى نقطة النهاية C2 إلى إرجاع الخطأ («المعلمة المفقودة، تم إغلاق الاتصال»).

هذه ليست قطعًا أثرية معزولة ولكنها توجد في طبقات مختلفة من الهجوم، مما يشير إلى عامل ثابت.

5. خصم مرن: تقنيات التهرب والتحليل المضاد

يتم تسليط الضوء على تطور البرامج الضارة بشكل أكبر من خلال دفاعاتها النشطة ضد التحليل الأمني.

5.1. كشف فريدا والتهرب منها

توقع المشغلون أن يحاول باحثو الأمن تحليل سلوك وقت تشغيل التطبيق.

اكتشاف فريدا: عندما تم حقن الخطافات القياسية من مجموعة أدوات Frida، اكتشفها التطبيق على الفور وتم إنهاؤها، مما أدى إلى حدوث خطأ في التجزئة. تعد ميزة مكافحة التحليل هذه سمة مميزة للبرامج الضارة المتقدمة، المصممة لجعل الهندسة العكسية أكثر صعوبة بشكل ملحوظ.

‍

5.2. تجاوز الدفاعات للكشف عن الحقيقة

للتغلب على هذه الدفاعات، تم تطوير خطاف جافا سكريبت مخصص وأكثر خفيًا. سمح هذا باعتراض تدفقات البيانات قبل تطبيق التشفير.

اعتراض بيانات النص العادي: كشفت عملية الربط الناجحة عن حمولة JSON ذات النص العادي التي يتم إرسالها إلى خادم C2، مما يؤكد سرقة اسم المستخدم وكلمة المرور ورقم البطاقة والبيانات الوصفية للجهاز.

فك تشفير استجابة الخادم: كشف ربط روتين فك التشفير أيضًا عن رسالة الفشل العامة للخادم باللغة الإندونيسية، مما يؤكد الطبيعة الخادعة للعملية بأكملها.

‍

6. تأثير الأعمال والمخاطر النظامية في إندونيسيا

تمتد عواقب هذه الحملة إلى ما هو أبعد من الخسائر المالية الفردية، مما يشكل تهديدًا استراتيجيًا للبنية التحتية الرقمية للبلاد.

6.1. تآكل الثقة العامة

التأثير المجتمعي الأساسي هو تدهور الثقة بين المواطنين الإندونيسيين وحكومتهم. عندما يتم انتحال شخصية علامة تجارية موثوقة وطويلة الأمد مثل TASPEN بنجاح، فقد يؤدي ذلك إلى تردد واسع النطاق في اعتماد أي خدمة حكومية رقمية، مما يعيق التقدم الوطني في التحول الرقمي والشمول المالي.

6.2. استهداف المستضعفين

الحملة شرسة، وتستهدف على وجه التحديد المتقاعدين الذين قد يكون لديهم مستويات أقل من المعرفة الرقمية وأكثر عرضة للهندسة الاجتماعية. يمكن أن يتسبب هذا ليس فقط في خسارة مالية مدمرة ولكن أيضًا في ضائقة نفسية كبيرة وشعور بالخيانة من قبل المؤسسات التي تهدف إلى حمايتها.

6.3. الأضرار الجانبية للقطاع المالي

يقع العبء التشغيلي والمالي لهذا الهجوم بشكل كبير على البنوك الإندونيسية. تشمل العواقب ما يلي:

زيادة تكاليف دعم العملاء: زيادة في المكالمات إلى أقسام الاحتيال.
نفقات التحقيق العالية: الوقت والموارد اللازمة للتحقيق في كل حالة.
المسؤولية المالية المحتملة: الضغط لتعويض العملاء عن الأموال المسروقة.
الضرر الذي يلحق بالسمعة: قد يلوم العملاء بنكهم على الفشل الأمني، حتى لو لم يكن البنك هو نقطة التسوية الأولية.

6.4. سابقة المخاطر النظامية

تعتبر التكتيكات والتقنيات والإجراءات (TTPs) المستخدمة في هذه الحملة فعالة للغاية وقابلة للتكرار. يوفر نجاح انتحال شخصية TASPEN مخططًا مثبتًا للمهاجمين لاستهداف المؤسسات العامة والخاصة الإندونيسية الرئيسية الأخرى. وهذا يرفع التهديد من حملة واحدة إلى موجة محتملة من الهجمات المقلدة، مما يشكل خطرًا منهجيًا على القطاع المالي الإندونيسي بأكمله. يمكن أن تشمل الأهداف المستقبلية المحتملة ما يلي:

BPJS كيساتان (الرعاية الصحية)
بنك راكيات إندونيسيا (BRI) والبنوك الكبرى الأخرى المملوكة للدولة
منصات التجارة الإلكترونية والمرافق الرئيسية

7. مشهد التهديد الإقليمي: هجمات صناديق التقاعد عبر جنوب شرق آسيا

إن الهجوم على TASPEN ليس حدثًا منعزلًا ولكنه انعكاس لاتجاه أوسع ومثير للقلق عبر جنوب شرق آسيا. أصبحت صناديق التقاعد أهدافًا ذات أولوية عالية لكل من الجهات الفاعلة في مجال التهديد التي ترعاها الدولة وذات الدوافع المالية بسبب تركيزها الفريد للبيانات الحساسة والأصول المالية الضخمة.

7.1. الخصوم الذين يستهدفون صناديق معاشات SEA

هناك فئتان أساسيتان من الجهات الفاعلة في مجال التهديد نشطة في هذا المجال:

التهديدات المستمرة المتقدمة للدولة (APTs): تنشط مجموعات التجسس الإلكتروني، خاصة تلك المرتبطة بالصين مثل Earth Kurma، بشكل كبير في استهداف القطاعات الحكومية في جميع أنحاء جنوب شرق آسيا. هدفهم الرئيسي هو سرقة بيانات المواطن على نطاق واسع لأغراض الاستخبارات. يتماشى هجوم TASPEN، مع علاماته اللغوية الصينية وقدرات جمع البيانات (بما في ذلك القياسات الحيوية)، بشكل وثيق مع TTPs لهذه الجهات الفاعلة التي ترعاها الدولة.
عصابات الجرائم الإلكترونية ذات الدوافع المالية: تركز هذه المجموعات المنظمة، مثل عصابة Lockbit Ransomware الغزيرة، على تحقيق الدخل المباشر. تُعد قدرات سرقة بيانات الاعتماد واعتراض OTP للبرامج الضارة TASPEN من السمات المميزة لعملياتها، وهي مصممة للاحتيال المالي الفعال والواسع النطاق. يشير هذا إلى أن برنامج TASPEN الضار قد يكون أداة تستخدمها هذه العصابات أو تُباع لها.

ويتجلى هذا التهديد الإقليمي كذلك من خلال الإجراءات في البلدان المجاورة. على سبيل المثال، اضطر صندوق الادخار المركزي السنغافوري (CPF) إلى تنفيذ ضوابط أمنية أقوى لمكافحة الاحتيال المرتبط بالبرامج الضارة، مما يدل على أن أنظمة التقاعد هي ساحة معركة معترف بها ونشطة للأمن السيبراني في جميع أنحاء المنطقة.

7.2. تقييم التأثير النقدي المحتمل لحملة TAPEN

في حين أن الخسائر المالية الدقيقة من هذه الحملة المحددة لم يتم تحديدها علنًا بعد، فإن تقييم التأثير المستند إلى قدرات البرامج الضارة والحوادث المماثلة يكشف عن تهديد محتمل بملايين الدولارات. تمتد التكاليف إلى ما هو أبعد من السرقة الأولية.

الخسائر المباشرة للأعضاء: من خلال القدرة على تجاوز التحقق من OTP، يمكن للمهاجمين استنزاف حسابات الأعضاء. كمعيار، أدى هجوم أقل تعقيدًا على صناديق التقاعد الأسترالية إلى سرقة أكثر من 500,000 دولار أسترالي من عدد قليل من الحسابات، مما يوضح احتمال حدوث خسائر سريعة وكبيرة.
تكاليف الضمان للقطاع المصرفي: تتحمل الصناعة المالية عبئًا ثانويًا ثقيلًا. وفقًا لتقرير IBM لعام 2024، يبلغ متوسط تكلفة خرق البيانات في القطاع المالي لرابطة أمم جنوب شرق آسيا حوالي 7.5 مليون دولار سنغافوري. يشمل هذا الرقم تكاليف تعويض الاحتيال ودعم العملاء والتحقيقات والغرامات التنظيمية.
التكاليف المؤسسية لـ TAPSEN: وباعتبارها الكيان المنتحل، ستتحمل TAPSEN تكاليف هائلة تتعلق بإدارة الأزمات، وحملات العلاقات العامة لإعادة بناء الثقة المحطمة، والتحقيقات الجنائية، وتنفيذ ترقيات أمنية عاجلة.

بالنظر إلى هذه العوامل، يمكن لحملة TASPEN الناجحة والواسعة النطاق للبرامج الضارة أن تؤدي بسهولة إلى عشرات الملايين من الدولارات من الأضرار الاقتصادية الإجمالية.

‍

8. توصيات استراتيجية للدفاع الوطني المنسق

يتطلب هذا التهديد استجابة موحدة واستباقية من جميع أصحاب المصلحة في جميع أنحاء المجتمع الإندونيسي.

8.1. بالنسبة للحكومة والهيئات التنظيمية (KOMINFO، OJK، BSSN):

هناك فئتان أساسيتان من الجهات الفاعلة في مجال التهديد نشطة في هذا المجال:

إنشاء إطار وطني للإزالة: إنشاء شراكة سريعة الاستجابة بين القطاعين العام والخاص لتحديد وتنفيذ عمليات إزالة النطاقات الضارة والبنية التحتية لـ C2 والتطبيقات المزيفة التي تستهدف الكيانات الإندونيسية بسرعة.
معايير الأمان الإلزامية للتطبيقات العامة: فرض خط أساس لمتطلبات الأمان لجميع التطبيقات الحكومية الرسمية، بما في ذلك عمليات التدقيق الأمني الإلزامية من طرف ثالث، وتشويش التعليمات البرمجية، وضوابط مكافحة التلاعب.
إطلاق حملة وطنية لمحو الأمية الرقمية: قم بتمويل حملة توعية عامة مستدامة على مستوى البلاد، تستهدف على وجه التحديد كبار السن، لتثقيفهم حول تحديد التصيد الاحتيالي والتحقق من التطبيقات وفهم أذونات الهاتف المحمول. استخدم إعلانات الخدمة العامة على التلفزيون والراديو ووسائل التواصل الاجتماعي.

8.2. للمؤسسات المالية وPT TASPEN:

نشر اكتشاف الاحتيال المتقدم القائم على السلوك: تجاوز الأنظمة البسيطة القائمة على القواعد. قم بتنفيذ الحلول التي تحلل سلوك المستخدم والجهاز لاكتشاف الحالات الشاذة، مثل عمليات تسجيل الدخول من جهاز به تطبيقات مثبتة حديثًا أو محملة جانبيًا أو أنماط المعاملات غير العادية.
الاستفادة من تصديق الجهاز: استخدم خدمات مثل Play Integrity API من Google للتحقق من أن جلسة الخدمات المصرفية عبر الهاتف المحمول تنشأ من جهاز أصلي غير معبث وبناء تطبيق شرعي، وحظر الجلسات من الأجهزة المخترقة.
التواصل الاستباقي مع العملاء: لا تنتظر أن يصبح العملاء ضحايا. أرسل بشكل استباقي إرشادات أمنية واضحة وموجزة عبر القنوات الرسمية (الرسائل القصيرة والبريد الإلكتروني والإشعارات داخل التطبيق) للتحذير بشأن تهديدات محددة ونشطة مثل حملة انتحال شخصية TAPSEN.

‍

8.3. للجمهور الإندونيسي:

استخدم متاجر التطبيقات الرسمية فقط: لا تقم أبدًا بتنزيل أو تثبيت التطبيقات من مواقع الويب أو الرسائل النصية أو روابط WhatsApp. استخدم فقط متجر Google Play الرسمي أو متجر تطبيقات Apple.
التدقيق في أذونات التطبيق: كن حذرًا جدًا من أي تطبيق يطلب أذونات واسعة أو غير ضرورية، وخاصة الوصول إلى الرسائل القصيرة أو خدمات إمكانية الوصول أو الكاميرا.
قم بتثبيت برنامج أمان الأجهزة المحمولة ذو السمعة الطيبة: استخدم تطبيقًا موثوقًا لمكافحة الفيروسات للأجهزة المحمولة من بائع أمان معروف يمكنه المساعدة في اكتشاف البرامج الضارة ومواقع التصيد المعروفة وحظرها.

‍

9. الخاتمة

تعد حملة TASPEN للبرامج الضارة للأجهزة المحمولة مثالًا واقعيًا على مشهد التهديدات المتطور الذي يواجه إندونيسيا. مع استمرار الأمة في رحلتها السريعة والجديرة بالثناء نحو مجتمع رقمي أولاً، سيستهدف الخصوم حتمًا النقاط الأكثر ثقة وضعفًا في هذا النظام البيئي الجديد. هذه ليست حالة بسيطة من الاحتيال المالي؛ إنها تهديد استراتيجي يستهدف قلب الثقة العامة والبنية التحتية الرقمية الحيوية. تمثل تقنيات التهرب المتقدمة وقدرات المراقبة كاملة الطيف تحديًا هائلاً لا يمكن مواجهته من قبل أي كيان يعمل بمفرده. يتطلب الدفاع الناجح جهدًا استباقيًا وتعاونيًا ومستدامًا من الحكومة والصناعة والجمهور لبناء إندونيسيا رقمية أكثر مرونة وأمانًا لجميع مواطنيها.

‍

المراجع

‍

الملحق: مؤشرات التسوية (IOCs)

ترتبط المؤشرات الفنية التالية بهذه الحملة ويمكن استخدامها للكشف والحظر.

Indicators of Compromise (IoCs)

IoC Type	Value	Note
Phishing Domain	taspen[.]ahngo[.]cc	Primary malware distribution site.
C2 Domain	rpc.syids.top	Used for credential exfiltration and C2.
C2 IP Address	38.47.53.168	Used for beaconing/backup C2 over TLS.
Malware Package Name	org.ptgnj.trbyd.bujuj	The unique identifier for the malicious app.
Malware File Name	i111111.zip	The name of the dropped payload file.
Hardcoded Key	NEi81XaCiN91C5rfwHxxZamtTk246iWF	Encryption key found in the malware's config.
File Hashes (SHA-256)	APK Hash: 3ddefbacd77de58c226a388ad92125e1333a7211fc0b1d636dea778923190c4f classes.dex: 1963b78a98c24e106ba93168f69ad12914e339a155b797a4d6fb6e8ff88819ea classes2.dex: c4a4c485660abe8286c58d2f6c8bb7e2e698db305761e703987efc6653c2ec25 classes3.dex: 5b9bd063360912a57a1cde5c1980594703ab301161c9a91197bff76352410df0	For identification by antivirus and EDR tools.