במסגרת המחקר, זיהו חוקרי ESET מספר גרסאות שונות של הנוזקה, כולל לפחות ארבע גרסאות מתקדמות שהתגלו במהלך פברואר 2026, מה שמצביע על כך שמדובר בפיתוח פעיל ומתמשך ולא במקרה בודד.

שילוב של בינה מלאכותית במתקפות על מכשירי אנדרואיד
במחקר עדכני חשפו חוקרי ESET משפחת נוזקות אנדרואיד חדשה בשם PromptSpy, המדגימה כיצד עברייני סייבר מתחילים לשלב יכולות מתקדמות במתקפות על מכשירים ניידים. בניגוד לנוזקות מסורתיות שמבוססות על פקודות קבועות, הנוזקה החדשה עושה לראשונה שימוש ב-GenAI כדי לנתח את ממשק המשתמש של המכשיר ולהבין כיצד לפעול עליו בזמן אמת. באמצעות שימוש ב-Gemini של גוגל, הנוזקה יכולה לנתח את מה שמופיע על המסך ולקבל הוראות כיצד לבצע פעולות שונות במכשיר.

גישה זו מאפשרת לנוזקה להתאים את עצמה למגוון רחב של מכשירי סלולר, ממשקי משתמש וגרסאות מערכת הפעלה, במקום להסתמך על תסריטים קבועים שעובדים רק על סוגים מסוימים של מכשירים.גיל שטרן, מנהל השיווק בקומסקיור,המפיצה הרשמית של ESET בישראל, מציין כי "מדובר באחד המקרים הראשונים שבהם נוזקה לאנדרואיד משלבת יכולות של בינה מלאכותית כחלק מפעולתה, דבר שעשוי להצביע על מגמה רחבה יותר בעולם איומי הסייבר, שבה תוקפים עושים שימוש בכלים מתקדמים, כדי להפוך את המתקפות לגמישות ומתוחכמות יותר".

מטרתה המרכזית של הנוזקה היא לאפשר לתוקפים שליטה במכשיר שנפרץ, כך שלאחר התקנת הנוזקה בדמות אפליקציה תמימה, על המשתמש לאשר לה גישה להרשאות מתאימות. לאחר מכן היא מפעילה רכיב שליטה מרחוק המאפשר למפעילי התקיפה לצפות במסך המכשיר בזמן אמת, ולבצע פעולות שונות כאילו הם מחזיקים בו פיזית. בין היתר יכולה הנוזקה לצלם את המסך, להקליט פעילות, לאסוף מידע על המכשיר ואף ללכוד נתונים רגישים כמו קוד נעילה או פרטי כניסה לחשבונות שונים.

בנוסף, הנוזקה משתמשת בשיטות שונות כדי להקשות על הסרתה מהמכשיר. היא מנצלת הרשאות מתקדמות במערכת אנדרואיד כדי להישאר פעילה גם כאשר המשתמש מנסה לסגור אותה או להסיר אותה מהמכשיר.

כיצד הרשאות אפליקציות פותחות דלת לתוקפים?

לצד ההתפתחות הטכנולוגית של הנוזקות, חוקרי ESET מדגישים כי פעמים רבות הגורם המרכזי שמאפשר למתקפות כאלה להצליח הוא דווקא התנהגות המשתמשים עצמם. משתמשים רבים מאשרים בקשות הרשאה של אפליקציות באופן אוטומטי, מבלי לבדוק האם ההרשאה באמת נחוצה לפעילות האפליקציה. כאשר אפליקציה מקבלת גישה רחבה מדי למידע או ליכולות המכשיר, היא יכולה במקרים מסוימים לגשת לאנשי קשר, לקבצים, למיקום, למצלמה או למיקרופון. אחת מנורות האזהרה המרכזיות היא גישה להודעות, שכן היא עשויה לאפשר איסוף קודי אימות חד-פעמיים, קודים זמניים ואף מידע פיננסי, ומכאן הדרך להשתלטות על חשבונות קצרה. לעיתים מדובר בבקשות הרשאה שאינן תואמות כלל את מטרת האפליקציה. כך למשל, משחק פשוט שמבקש גישה לאנשי קשר או אפליקציית מחשבון שמבקשת גישה למיקרופון או למצלמה עשויים להוות סימן אזהרה לכך שהאפליקציה מבקשת יותר מידע ממה שנדרש לפעילותה.

שטרן מוסיף ש"הסמארטפון הפך בשנים האחרונות למרכז החיים הדיגיטליים שלנו. הוא מכיל מידע אישי, פיננסי ועסקי רגיש ולכן הוא יעד אטרקטיבי במיוחד עבור עברייני סייבר. אנחנו רואים שילוב בין טכנולוגיות חדשות, המאפשרות לנוזקות להיות חכמות ומתוחכמות יותר, לבין ניצול טעויות אנוש פשוטות כמו אישור הרשאות לאפליקציות בלי לבדוק מה הן מבקשות. משתמשים רבים אינם מודעים למשמעות של ההרשאות שהם מעניקים לאפליקציות בזמן ההתקנה או השימוש הראשוני בהן".

כך יכולים משתמשים לצמצם את הסיכון לפריצה בסמארטפון

"לעיתים אפליקציה פשוטה מבקשת גישה למידע שאין לה צורך אמיתי בו, אך המשתמש מאשר זאת באופן אוטומטי. ברגע שאפליקציה זדונית מקבלת הרשאות רחבות, היא יכולה לאסוף מידע רב על המשתמש ואף לאפשר לתוקף לשלוט במכשיר מרחוק", הוא מציין.

ב-ESET ממליצים למשתמשים להוריד אפליקציות רק מחנויות רשמיות ולא לסמוך על קבצי APK שמסתובבים ברשת, לבדוק היטב אילו הרשאות אפליקציה מבקשת, ולהימנע מאישור הרשאות שאינן הכרחיות לפעילותה. בנוסף מומלץ לבצע בדיקה תקופתית של הרשאות האפליקציות במכשיר ולהסיר אפליקציות שאינן בשימוש.

לדברי שטרן, מודעות והתנהלות זהירה מצד המשתמשים הן עדיין אחד מקווי ההגנה החשובים ביותר מפני איומי סייבר במובייל. "גם כאשר התוקפים מפתחים שיטות מתקדמות יותר, במקרים רבים התקיפה עדיין מתחילה בהחלטה קטנה של המשתמש להתקין אפליקציה לא מוכרת או לאשר הרשאה מבלי לבדוק אותה. מודעות לסיכונים ושימוש בכלי אבטחה מתאימים יכולים לצמצם משמעותית את הסיכון להדבקה".

הפוסט האיום החדש על הסמארטפון: נוזקות אנדרואיד משלבות AI הופיע לראשונה ב-חדשות טכנולוגיה TechZ.

מלחמה פיזית, השלכות דיגיטליות

אחת הדוגמאות החריגות שממחישות את החיבור בין מלחמה פיזית לעולם הסייבר היא תקיפה של מרכזי הנתונים באמירויות, שנפגעו מתקיפת כטבמ"ים איראניים וגרמו לשיבושים באפליקציות פיננסיות וכלים ארגוניים במספר מדינות. המקרה הזה ממחיש כיצד פגיעה בתשתיות ענן עלולה להשפיע על ארגונים רבים שאינם קשורים ישירות לאזור הסכסוך.

דוגמה נוספת היא פעילות קבוצת MuddyWater, אחת מקבוצות התקיפה הבולטות המזוהות עם איראן. הקבוצה ניצלה בעבר גישה של ספק שירותים מנוהל (MSP) כדי להגיע לרשתות של ארגונים נוספים. במסגרת פעילותה היא עושה שימוש גם בכלי ניהול מרחוק מורשים ולגיטימיים, המאפשרים לה להסתתר בתוך התעבורה הארגונית ולהקשות על זיהוי הפעילות. המקרה הזה מצטרף לדיווח והפרסום של ESET בחודש דצמבר 2025 על מתקפות של הקבוצה כלפי ארגונים ותשתיות בישראל, מה שגרם למערך הסייבר הלאומי להוציא הודעה בנושא.

הפוסט חזית דיגיטלית: המלחמה מובילה לעלייה במתקפות הסייבר הופיע לראשונה ב-חדשות טכנולוגיה TechZ.

המידע שמופיע בפרופילים אישיים וארגוניים כולל תפקידים, תחומי אחריות, מבנה דיווח ולעיתים אף פירוט על פרויקטים ושותפויות. עבור התוקף, מדובר בבסיס איכותי לבניית מתקפות פישינג והונאות מסוג Business Email Compromise, כלומר ניתן להבין מי אחראי על כספים, מי עובד מול ספקים ומי עשוי להיות יעד מתאים לפנייה שנראית מקצועית ואמינה לחלוטין.

אלכס שטיינברג, מנהל מוצר ESET בקומסקיור, המפיצה הרשמית של ESET בישראל, אומר כי "לינקדאין נתפסת כרשת חברתית מקצועית, רצינית ואמינה, ולכן משתמשים נוטים להוריד את רמת החשדנות שלהם. בפועל, תוקפים מנצלים את המידע הגלוי כדי לבנות פניות מדויקות שמבוססות על תפקידים וקשרים אמיתיים בארגון". לדבריו, "ארגונים צריכים להרחיב את תפיסת ההגנה גם לרשתות חברתיות, לשלב תרחישים כאלה בהדרכות מודעות ולהקפיד על אימות רב שלבי והגנה על חשבונות".

ערוץ תקשורת מחוץ ליישומים הארגוניים
מעבר להיקף המידע, האתגר המשמעותי עבור ארגונים וחברות הוא שהתקשורת בלינקדאין אינה עוברת דרך שרתי הדוא"ל הארגוניים. ההודעות מתבצעות בתוך מערכת הצ'אט של הפלטפורמה ולכן אינן נסרקות על ידי פתרונות אבטחת דוא"ל או אחרים ואינן מנוטרות באופן שוטף על ידי מחלקות IT.

בפועל, מדובר בערוץ שבו פועלים מנהלים, אנשי כספים ורכש, אך הוא נמצא מחוץ למנגנוני הבקרה הארגוניים. תקיפה יכולה להתחיל בהודעה ישירה בלינקדאין, להתפתח לשיח ממושך לביסוס אמון ולהסתיים בלחיצה על קישור זדוני או בהעברת פרטי גישה, מבלי שמערכות ההגנה הארגוניות יתריעו בזמן אמת.

הסיכון אינו תיאורטי. חוקרי אבטחה חשפו בשנים האחרונות קמפיינים שבהם קבוצת Lazarus מצפון קוריאה התחזתה למגייסים בלינקדאין ופנתה לעובדים בתעשיות רגישות, תוך ניסיון להחדיר נוזקות למחשבי הקורבנות. בנוסף חוקרי ESET גילו קמפיינים שבהם גורמים המזוהים עם צפון קוריאה ניסו להשתלב כעובדי IT בחברות זרות לצורך איסוף מודיעין מבפנים. קמפיין נוסף שכונה Ducktail כוון לאנשי שיווק ומשאבי אנוש באמצעות הודעות ישירות בלינקדאין, והוביל להורדת נוזקה לגניבת מידע שאוחסנה בענן כדי להיראות לגיטימית יותר.

דוגמה נוספת היא קבוצת ScatteredSpider שעשתה שימוש במידע מלינקדאין כדי לאתר עובדים רלוונטיים ולהתחזות אליהם מול מוקדי תמיכה. אחת המתקפות שיוחסו לה הובילה לאירוע כופרה חמור בחברת MGM, שגרם לנזקים של כ-100 מיליון דולר.

מעבר לכך, תוקפים עושים שימוש בפרופילים קיימים לצורך יצירת דיפ פייקים מבוססי וידאו, שיכולים לשמש בהונאות המשך. בנוסף, לינקדאין מאפשרת לאתר בקלות ספקים ושותפים עסקיים של ארגון מסוים, וכך לבצע תקיפות שרשרת אספקה שבהן התוקף פוגע בגורם חיצוני כנקודת כניסה עקיפה לארגון היעד. כמו כן, לעיתים נעשה ניסיון להשתלט על חשבונות באמצעות עמודי פישינג או שימוש בפרטי התחברות שדלפו, ולאחר מכן לפנות לאנשי קשר מתוך חשבון לגיטימי לכאורה. מכאן שב-ESET מדגישים כי לצד פתרונות טכנולוגיים, הגורם האנושי והמודעות של העובדים לסיכונים הללו היא מרכיב קריטי בהגנה. חשוב לזכור שגם ברשת חברתית מקצועית ואמינה יחסית, לא כל פנייה היא בהכרח לגיטימית.

הפוסט משתמשים בלינקדאין? מומחי אבטחה מזהירים מפני מתקפות חדשות הופיע לראשונה ב-חדשות טכנולוגיה TechZ.

על פי נתוני החברה, ההאקרים מאמצים כלים מתקדמים של AI כדי לייצר מתקפות מהירות, אמינות ומדויקות יותר, ובכך מקשים על המשתמשים לזהות את האיום בזמן.

מתקפות מבוססות AI הופכות לנפוצות ומדויקות יותר

חוקרי ESET מציינים כי בינה מלאכותית הפכה לכלי עבודה מרכזי בידי תוקפים, והיא מאפשרת לייצר גרסאות חדשות של אפליקציות מזויפות שנראות אמיתיות לחלוטין, ליצור מסכי הרשאות ותהליכי התקנה שנראים מקוריים ולהסתיר נוזקות באופן מתוחכם.

במקרים רבים, האפליקציה המזויפת נראית אמינה לכל דבר, עד לרגע שבו רכיבי התקיפה מופעלים ומאפשרים לתוקף גישה למידע רגיש, לשליחת הודעות, לשליטה מרחוק ואף לשימוש באפליקציות בנקאיות.

אלכס שטיינברג, מנהל מוצר ESET בחברת קומסקיור, מסביר כי "בשנת 2025 נרשם שינוי משמעותי באופן שבו פועלות המתקפות נגד משתמשי אנדרואיד – אנחנו רואים יותר מתקפות שמבוססות על התנהגות ולא רק על קבצים. ה-AI מאפשר לתוקפים לעקוף זיהוי מסורתי ופועל בצורה שהופכת את ההונאות לקשות יותר לזיהוי עבור המשתמש הממוצע. אפליקציות התחזות נראות איכותיות, קמפייני פישינג כתובים בצורה מושלמת ושיטות התקיפה מתעדכנות בתוך שעות. זה לא דורש ידע מתקדם מצד התוקפים כי ה-AI עושה זאת עבורם, לפי פקודות והוראות פשוטות".

המעבר של עברייני סייבר לשימוש בכלי AI משפיע באופן ישיר על מכשירי אנדרואיד, שבהם ניתן להתקין אפליקציות ממקורות חיצוניים וקבצי APK, וקיימת שונות גדולה בין רמות ההגנה של היצרנים השונים.

שילוב זה הופך את אנדרואיד למטרה מועדפת, במיוחד עבור מתקפות שמסתמכות על אפליקציות מזויפות או הפעלה הדרגתית של מרכיבי תקיפה.

רבות מהאפליקציות המזויפות נראות תקינות בעת ההתקנה, אך הן מבצעות פעולות חשודות רק לאחר זמן, באופן שמקשה על המשתמש להבין מה גרם לפגיעה ומתי.

מלחמה בין AI ל-AI

כדי להתמודד עם הדור החדש של האיומים, ב-ESET מדגישים כי "מערכות אבטחה מסורתיות כבר אינן מספקות מענה מושלם. החברה פיתחה מנגנוני זיהוי שמנטרים דפוסי התנהגות, מציגים שינויים לא מוסברים בהרשאות, מזהים תעבורה חריגה ומתריעים על פישינג גם כשההודעה או האתר כתובים בשפה מושלמת ונראים לגיטימיים".

"2025 הייתה נקודת מפנה. התוקפים עברו לדור חדש של מתקפות, כאלה שמבוססות על AI ומותאמות אישית למכשיר, להרגלי השימוש ולשפה של הקורבן. כדי להגן באמת על משתמשי אנדרואיד ב-2026, גם ההגנה חייבת להיות חכמה יותר וגמישה יותר. מוצרי הגנה שלא יודעים לזהות דפוסים ולהבין התנהגות ואין מאחוריהם מערך רחב של צוות מומחים – לא ישרדו את האיומים החדשים", מסכם שטיינברג.

הפוסט משתמשי אנדרואיד על הכוונת – דו"ח חדש מזהיר מפני מתקפות מבוססות AI הופיע לראשונה ב-חדשות טכנולוגיה TechZ.

קובצי PDF הם חלק בלתי נפרד מהעולם העסקי והאישי של המשתמשים, המאפשרים הצגה ועריכה של מסמכים רשמיים, חוזים, הצעות מחיר, טפסים ממשלתיים וסריקות של דפים, אולם הנוחות הזו הפכה אותם גם לפיתיון מושלם למתקפות פישינג והפצת נוזקות. במקרים רבים נשלחים למשתמשים מיילים שנראים אמיתיים לחלוטין, תחת כותרות כמו "חשבונית חדשה", "תשלום בהמתנה" או "פרטי משלוח מעודכנים" – אך הקובץ המצורף מכיל קישורים זדוניים או סקריפטים שמורידים נוזקה כבר ברגע הפתיחה.

חוקרי ESET מצאו כי לעיתים הקובץ איננו PDF כלל, אלא קובץ הרצה (.exe) מוסווה בשם מטעה, לדוגמה "invoice.pdf.exe". באחת המתקפות הבולטות שנחשפו לאחרונה הופצה נוזקת הבנקים Grandoreiro באמצעות קובץ שהוצג כטופס ממשלתי לגיטימי, אך בפועל הפעיל קוד שאפשר לפושעים לגשת לפרטי בנק ולנתונים אישיים.

לדברי אלכס שטיינברג, מנהל מוצר ESET בחברת קומסקיור, "מדובר בטכניקה חדשה המכונה "SVG Smuggling", שבה הקוד הזדוני מוזרק ישירות לתוך קובץ ה-SVG עצמו ללא צורך בהורדה משרת חיצוני. כך יכולים התוקפים לעקוף בקלות מערכות אבטחה ארגוניות ולמנוע גילוי של המתקפה".

הפוסט חברת הסייבר מזהירה: עלייה בניסיונות הונאה באמצעות קבצי PDF הופיע לראשונה ב-חדשות טכנולוגיה TechZ.

הונאות ברשת הפכו מזמן לאחת הסכנות הנפוצות בעידן הדיגיטלי. עבריינים משתמשים בדרכים מתוחכמות כדי להונות גולשים תמימים, דרך מיילים מזויפים, אתרי אינטרנט מתחזים ועוד. עם התפתחות הטכנולוגיה ותחום הבינה המלאכותית, מסתבר כי גם שיטות ההונאה משתכללות ומשלבות AI.

איך פועלות ההונאות החדשות?

המהלך מתחיל לרוב בפרסום מודעות ממומנות מטעות ברשתות כמו פייסבוק, אינסטגרם, יוטיוב או X, ולעיתים אף באמצעות מסנג'ר ו-Threads. המודעות מתחזות לבנקים, גופי חדשות או חברות השקעה, ולעיתים מציגות סרטוני דיפ-פייק של אנשי ציבור וידוענים.

לפי חברת האבטחה ESET, נרשמה עלייה של 335% בהיקף מתקפות Nomani במחצית השנייה של 2024, עם חסימה של למעלה מ-8,500 דומיינים קשורים. הקמפיינים כללו שימוש בחשבונות גנובים של בעלי עוקבים רבים, תכנים מותאמים לאזורים גיאוגרפיים שונים, ותשתיות אחידות להפצת הודעות והפניות.
על אף שהסימנים להונאה ברורים לכאורה, המציאות שונה. הקשיים הכלכליים הופכים את ההבטחה לרווח מהיר למפתה ומרגש במיוחד. לכך מתווספים חוסר מודעות לטכנולוגיות חדשות כמו דיפ-פייקים, ירידה בריכוז בעת גלישה בסלולר, והעובדה שמודעות מזויפות רבות מופיעות מתוך חשבונות לגיטימיים ומדורגות גבוה במנועי החיפוש.

איך אפשר להתגונן?

אלכס שטיינברג, מנהל מוצר ESET בחברת קומסקיור, המפיצה הרשמית של ESET בישראל, מסביר שישנן כמה דרכים להתגונן מההונאות האלו: "הדרך היעילה ביותר להישמר היא בזיהוי סימני האזהרה: מודעות נוצצות שמציעות תשואות גבוהות מדי, הבטחות ל-ROI מובטח (החזר השקעה), עדויות מזויפות של ידוענים, סרטונים באיכות ירודה או סנכרון שפה לקוי, ולחץ לבצע פעולה מיידית. מומלץ להימנע מהקלקה על 'פרסומות השקעה', לבדוק תמיד מול מקור רשמי אם מדובר בקמפיין אמיתי, ולא למסור מידע אישי או פיננסי בעקבות פרסום מקוון".

שטיינברג מוסיף כי "הפושעים מנצלים כלים מתקדמים של בינה מלאכותית כדי להפוך את ההונאות לאמינות מאי פעם. לכן האחריות שלנו כמשתמשים היא לעצור לרגע, לבדוק את המידע מול מקורות רשמיים, ולהיעזר בפתרונות אבטחה אמינים שיכולים לזהות ולחסום קמפיינים זדוניים עוד לפני שהם מגיעים אלינו. בנוסף, מומלץ להפעיל תוכנת אבטחה מוכרת על כלל המכשירים. במקרה של חשד לגניבת פרטי אשראי, יש לפנות מיידית לבנק או חברת האשראי ולחסום את הכרטיס, בנוסף, לעקוב אחר עסקאות חריגות, ולדווח לרשויות".

הפוסט האיום החדש ברשתות החברתיות: הונאות מבוססות AI הופיע לראשונה ב-חדשות טכנולוגיה TechZ.

על פי הדו"ח, התוקפים עושים שימוש באפליקציות מזויפות ובאתרי פישינג, שנראים לעין בלתי מקצועית כאילו הם חלק ממערך השירות הרשמי של בנקים ומוסדות ממשלתיים או ציבוריים. מטרת ההתחזות היא להוביל את המשתמש להוריד אפליקציה זדונית או להכניס פרטים אישיים רגישים.

הגל החדש של התקיפות החל בצ'כיה אך התפשט במהירות לארצות הברית, אוסטרליה, מדינות אירופה נוספות ואזורים באסיה ובדרום אמריקה.
טכניקה נוספת שזוהתה בדו"ח היא Ghost Tap, שיטה מתקדמת שבמסגרתה נרשמים פרטי כרטיס האשראי הגנוב בארנקים דיגיטליים מזויפים, המותקנים על מכשירי אנדרואיד ייעודיים. בדרך זו, נוצרות מעין 'חוות' או 'משפחות' של מכשירים הפועלים באופן אוטומטי ומבצעים עסקאות מזויפות בקנה מידה נרחב, תוך שמירה על אנונימיות מבצעי התקיפה.

לדברי אלכס שטיינברג, מנהל מוצרי ESET בחברת קומסקיור בישראל, "אחת השיטות המרכזיות שעלו בדו"ח כוללת ניצול לרעה של כלי תוכנה בשם NFCGate – מערכת שפותחה במקור לצורכי מחקר אקדמי. גרסה זדונית של הכלי, בשם NGate, משמשת את התוקפים לצורך העברת נתוני NFC ממכשיר אחד לאחר, באופן שמאפשר שכפול של ארנקים דיגיטליים וכרטיסים. התוצאה היא יכולת לבצע רכישות או משיכות כספים, ללא צורך בגישה פיזית לכרטיס האשראי".

"במקרים שתועדו, התוקפים שלחו הודעות SMS שגרמו לנפגעים להאמין כי מדובר בהודעה רשמית מהבנק או מרשות המיסים, תוך הפניה להורדת אפליקציה נוספת. כך נוצר תהליך הכולל כמה שלבים של התחזות כפולה, הן מצד האפליקציה והן מצד גורם אנושי שיצר קשר טלפוני עם הקורבן, במטרה "לאמת" את השינויים שבוצעו. בשלב זה, הנתונים שכבר נגנבו אפשרו לתוקף לבצע חיקוי של כרטיס האשראי במכשיר אחר, ולהשתמש בו לביצוע תשלומים מיידיים".

הפוסט דו"ח חברת אבטחת הסייבר: עלייה חדה במתקפות NFC בעולם הופיע לראשונה ב-חדשות טכנולוגיה TechZ.