فيروس "BTMOB RAT" يهدد هواتف المغاربة.. وإدارة الدفاع الوطني تطلق تحذيرا عاجلا

في مذكرة أمنية حديثة صادرة عن إدارة الدفاع الوطني بالمملكة المغربية، حذرت المديرية العامة لأمن نظم المعلومات من برمجية خبيثة جديدة تُعرف باسم "BTMOB RAT"، وهي حصان طروادة من نوع الوصول عن بُعد (Remote Access Trojan) يستهدف بشكل خاص أجهزة الهواتف الذكية العاملة بنظام التشغيل أندرويد.

وقد تم اكتشاف هذا التهديد لأول مرة في شهر فبراير من سنة 2025، حيث اعتُبر ذا طابع بالغ الخطورة سواء من حيث درجة الخطر أو التأثير، وتم تصنيفه رسمياً تحت درجة "حرج" في كلا الجانبين.

وتوضح المذكرة أن البرمجية الخبيثة يتم توزيعها عبر مواقع تصيد إلكتروني وتطبيقات خبيثة متوفرة على متجر "غوغل بلاي"، ما يجعلها سهلة الانتشار والوصول إلى المستخدمين. ويكمن أحد أبرز عناصر الخطورة في استغلال البرمجية لخدمات الوصول (Accessibility Services) الخاصة بنظام أندرويد، والتي تتيح لها الحصول على صلاحيات واسعة دون علم المستخدم، ما يفتح لها الباب لتجاوز مختلف آليات الأمان والحماية المدمجة في النظام.

وتم تصميم "BTMOB RAT" بهدف جمع بيانات حساسة من الأجهزة المستهدفة، حيث تستغل الواجهة البينية للمستخدم في الجهاز من أجل سرقة معلومات مثل أسماء المستخدمين، كلمات المرور، الرسائل النصية، والمعطيات البنكية، إضافة إلى كل ما يظهر على شاشة الجهاز. كما تراقب البرمجية الحافظة (Clipboard) لسرقة بيانات يتم نسخها مؤقتاً، مثل رموز التأكيد أو بيانات الدفع.

ويحذر الخبراء من قدرة "BTMOB RAT" على تنفيذ أنشطة خبيثة في خلفية النظام دون إثارة الشكوك أو التنبيهات الأمنية، حيث تراقب سلوك التطبيقات الشرعية لتفادي رصدها من قبل برامج الحماية أو المستخدمين. ما يزيد الأمر تعقيداً هو اعتماد هذه البرمجية على نموذج "البرمجيات الخبيثة كخدمة" (Malware-as-a-Service)، ما يسمح للمهاجمين بشرائها أو استئجارها لشن هجماتهم الخاصة دون الحاجة إلى خبرات تقنية متقدمة، مما يعزز انتشارها بشكل كبير في الأوساط الإجرامية الرقمية.

كما كشفت المذكرة عن خطة أمنية تهدف إلى التصدي للتهديد، من خلال توصية جميع الجهات بتحديث أنظمتها الدفاعية ودمج مؤشرات الاختراق (Indicators of Compromise – IOCs) الخاصة بهذه البرمجية، وذلك ضمن أدوات الكشف المبكر واليقظة السيبرانية، مع إشعار الجهات المعنية (maCERT) عند رصد أي نشاط مشبوه له صلة بـ "BTMOB RAT".

وقد أدرجت الوثيقة قائمة من مؤشرات الاختراق تضم تجزئات رقمية (Hashes) تُستخدم للتعرف على البرمجية، وتشمل:

b65aa939027363fb64781e51bf0e97add788db1621dd7ade048a8afd2523417b

8b292974edd0f6c48c0ebcf49812325c5d375793b716c4d5aeb3af19e77eee76e

2b307f11ae418931674156425c47ff1c0645fb0b160290cd358599708ff62668

كما تضمن التحذير قائمة من عناوين بروتوكول الإنترنت (IP addresses) المرتبطة بالنشاط الخبيث لهذه البرمجية، وهي:

206.206.125.203

64.233.166.84

64.233.184.84

66.102.1.84

142.250.200.1

157.240.221.16

142.250.200.2

216.58.201.97

216.58.212.226

172.217.169.33

وتدعو إدارة الدفاع الوطني كافة الجهات والمؤسسات إلى رفع مستوى الحذر، وتحديث أدوات الحماية، والانخراط في جهود اليقظة الرقمية، خاصة في ظل تنامي وتنوع التهديدات الإلكترونية التي تستهدف بشكل مباشر المعطيات الحساسة، وفي مقدمتها المعلومات البنكية للمستخدمين.