🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
Back
احتيال
الكشف عن حملة الاحتيال في Lounge Pass: سارق الرسائل القصيرة المستهدف بنظام Android يستغل المسافرين الجويين
كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين الجويين في المطارات الهندية. تتضمن عملية الاحتيال تطبيق أندرويد ضار يسمى Lounge Pass، يتم توزيعه من خلال نطاقات وهمية مثل loungepass.in. يقوم هذا التطبيق باعتراض رسائل SMS وإعادة توجيهها سراً من أجهزة الضحايا إلى مجرمي الإنترنت، مما يؤدي إلى خسائر مالية كبيرة. كشف التحقيق أنه بين يوليو وأغسطس 2024، قام أكثر من 450 مسافرًا بتثبيت التطبيق الاحتيالي دون علمهم، مما أدى إلى الإبلاغ عن سرقة أكثر من 9 آلاف روبية هندية (حوالي 11000 دولار). استغل المحتالون نقطة نهاية Firebase المكشوفة لتخزين رسائل SMS المسروقة. من خلال تحليل المجال وبيانات DNS السلبية، حدد الباحثون العديد من المجالات ذات الصلة التي تنشر ملفات APK مماثلة. تشمل التوصيات الرئيسية تنزيل التطبيقات فقط من المتاجر الرسمية، وتجنب مسح رموز QR العشوائية، وعدم منح وصول الرسائل القصيرة إلى تطبيقات السفر أو الصالة. يجب على المسافرين حجز إمكانية الوصول إلى الصالة من خلال القنوات الرسمية والبقاء يقظين لحماية بياناتهم الشخصية. ابق على اطلاع بأحدث عمليات الاحتيال وقم بحماية بيانات السفر الخاصة بك باتباع هذه الإرشادات.
October 25, 2024
14
min
.png)
Table of Content
Subscribe to CloudSEK Resources
Get the latest industry news, threats and resources.
ملخص تنفيذي
كشف فريق أبحاث التهديدات في CloudSek عن عملية احتيال معقدة تستهدف المسافرين جواً من خلال تطبيق Android احتيالي يسمى 'لاونج باس'. بدأ التحقيق بعد انتشار وسائل التواصل الاجتماعي بريد على X (تويتر سابقًا) بالتفصيل كيف وقعت امرأة ضحية لعملية الاحتيال في مطار بنغالور.
على عكس سارقي الرسائل القصيرة العاديين الذين غالبًا ما يتنكرون في صورة طلبات مصرفية أو قروض، تستهدف هذه الحملة المسافرين في المطار على وجه التحديد. يقوم التطبيق الضار، بمجرد تثبيته، بالتقاط وإعادة توجيه جميع رسائل SMS الواردة من جهاز الضحية إلى المحتالين.
من خلال تحقيق OSINT (الذكاء المفتوح المصدر) المكثف، حدد فريق البحث نطاقات متعددة مرتبطة بالاحتيال عبر نطاقات TLDs المختلفة. عند تحليل ملف APK الذي تمت هندسته بشكل عكسي، اكتشف الباحثون سهوًا مهمًا: فقد كشف المحتالون عن طريق الخطأ نقطة نهاية Firebase الخاصة بهم، والتي كانت تُستخدم لتخزين جميع رسائل SMS التي تم اعتراضها من الضحايا.
كشف تحليل البيانات المكشوفة عن النطاق المدمر لعملية الاحتيال هذه:
- بين يوليو وأغسطس 2024، حوالي 450 قام المسافرون المطمئنون بتثبيت التطبيق الضار.
- رسمت رسائل SMS التي تم اعتراضها صورة قاتمة، مما يدل على أن المحتالين قد سرقوا بنجاح 9 آلاف روبية هندية (حوالي 11,000 دولار) من ضحاياهم خلال هذه الفترة القصيرة.
- من المحتمل أن يمثل هذا الرقم جزءًا فقط من إجمالي الأضرار، لأنه يشمل فقط الحالات الموثقة المرتبطة بنقطة النهاية المكشوفة الموجودة في كود سارق الرسائل القصيرة أثناء الإطار الزمني الذي تم تحليله.
التحليل والإسناد
معلومات من X Post
استنادًا إلى الفيديو، لاحظنا أن عنوان URL (loungepass.in) لتنزيل APK تمت مشاركته عبر WhatsApp. بالإضافة إلى ذلك، كشفت لقطات شاشة WhatsApp عن العنوان فحص الدخول إلى صالة المطار. من خلال بيانات DNS السلبية وأوجه التشابه في الاستضافة، حددنا ثلاثة نطاقات ذات صلة، نعتقد أنها كانت جزءًا من نفس الحملة، واستضافتها على نفس عنوان IP لخادم الويب: 154.41.240.248
معلومات من OSINT
كشفت التحقيقات الإضافية باستخدام منصات مسح عناوين URL ذات المصادر الجماعية أن عناوين URL نفسها قد تم فحصها مسبقًا. ومن المثير للاهتمام أنه يبدو أن شخصًا ما قام أيضًا بمسح تطبيق Android الذي ذكره الضحايا في فيديو Twitter. هذا يؤكد صحة فرضيتنا فيما يتعلق بتوزيع APK من خلال هذه المجالات والروابط بين المجالات المكتشفة الأخرى.
معلومات من سارق الرسائل القصيرة المعكوس
بعد إجراء هندسة عكسية لسارق الرسائل القصيرة بنظام أندرويد LOUNGEPASS.apk (981a5a2c7cb2184ac9715f6ebab0d60e0796f628230f23950809a34f5639b9f4)، كشفت الأذونات في ملف مانيفست عن النية الحقيقية لملف APK. كشفت التحليلات الإضافية عن أسرار مشفرة ونقطة نهاية URL لخدمة Firebase Messaging Service، مما أدى إلى كشف أجهزة الضحايا وتسهيل سرقة الأموال من خلال استغلال تسرب رسائل SMS من أرقام الضحايا.
التوصيات
- أولاً وقبل كل شيء، قم بتنزيل تطبيقات الوصول إلى الصالة فقط من مصادر موثوقة مثل متجر Google Play أو متجر تطبيقات Apple: تحقق دائمًا من تطابق اسم ناشر التطبيق مع الشركة الرسمية، وخذ الوقت الكافي لمراجعة تعليقات المستخدمين والتحقق من أرقام التنزيل قبل تثبيت أي تطبيق.
- كن حذرًا عند مواجهة رموز QR في المطارات: تجنب مسح رموز QR العشوائية، لأنها قد تؤدي إلى تنزيلات ضارة أو عمليات احتيال. لا تقم مطلقًا بتنزيل التطبيقات عبر روابط APK المباشرة التي تتجاوز متاجر التطبيقات الرسمية، وإذا لم تكن متأكدًا، فاطلب دائمًا من موظفي المطار أو الصالة تأكيد شرعية أي رموز.
- قم بحماية الوصول إلى الرسائل القصيرة الخاصة بك من خلال عدم منح أذونات الرسائل القصيرة لتطبيقات الصالة أو السفر: احذر من أي تطبيق يطلب الوصول إلى رسائلك، لأن تطبيقات الصالة الشرعية لا تحتاج إلى الوصول إلى الرسائل القصيرة. هذه خطوة حاسمة في منع الوصول غير المصرح به إلى معلوماتك الشخصية.
- عند حجز الدخول إلى الصالة، استخدم القنوات الرسمية فقط مثل مزايا البنك أو بطاقة الائتمان الخاصة بك: احجز من خلال مواقع المطارات الرسمية أو الشركاء الموثوق بهم. إذا كانت لديك أي شكوك، فإن الحجز مباشرة في مكتب الصالة يعد دائمًا خيارًا آمنًا.
- أخيرًا، من المهم مراقبة حساباتك بانتظام أثناء السفر: قم بتمكين التنبيهات المصرفية لأي معاملات وتحقق من حساباتك بشكل متكرر للتأكد من عدم وجود أي نشاط مشبوه. إذا لاحظت أي شيء غير عادي، فأبلغ البنك الخاص بك على الفور.
- إذا قمت مؤخرًا بتثبيت أي تطبيقات متعلقة بالصالة، فراجع الأذونات الخاصة بها وقم بإزالة أي تطبيقات تبدو مشبوهة لحماية بياناتك. كن يقظًا وحدد أولويات سلامتك أثناء السفر.
المؤشرات
المراجع
- *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
- #بروتوكول إشارات المرور - ويكيبيديا
- https://x.com/Jasonphilip8/status/1848611163518730571
- https://www.ndtv.com/feature/woman-falls-victim-to-lounge-scam-at-bengaluru-airport-loses-over-rs-87-000-6848162
- https://www.instagram.com/kolampodu
الملحق
كلاودسك ترياد
Subscribe to CloudSEK Resources
Get the latest industry news, threats and resources.
