Netcrook Logo
👤 TRUSTBREAKER
🗓️ 28 Apr 2026  

«لصوص غير مرئيين»: تطبيق محمّل بحصان طروادة يتسلّل عبر Google Play ويصيب أكثر من 10,000 هاتف

العنوان الفرعي: تطبيق قارئ مستندات مزيف على Google Play أوصل حصان طروادة المصرفي الخطير Anatsa إلى الآلاف قبل إزالته.

بدا وكأنه مجرد أداة إنتاجية أخرى. لكن خلف الأيقونة العادية ووعود إدارة المستندات، كانت مؤامرة خبيثة تتكشف على هواتف أكثر من 10,000 مستخدم غير مرتاب. فقد تحوّل تطبيق قارئ مستندات يبدو بريئًا، ومتاحًا على متجر Google Play الرسمي، إلى أحدث وسيلة لإيصال حصان طروادة المصرفي سيّئ السمعة Anatsa - كاشفًا حقيقة مقلقة حول المخاطر المستمرة الكامنة حتى في أكثر أسواق التطبيقات موثوقية.

بدأت الحادثة، التي كشفها باحثون في ThreatLabz، بنشر تطبيق قارئ مستندات مزيف على Google Play. وعلى السطح، بدا التطبيق شرعيًا، مع وصف يركز على المنفعة وواجهة مستخدم نظيفة. إلا أنه تحت هذا القناع كان يخفي شيفرة صُممت لا للمساعدة، بل للسرقة.

وعلى خلاف البرمجيات الخبيثة التقليدية التي تكشف حقيقتها فورًا، تصرّف هذا التطبيق كـ«مُسقِط» (dropper) - وهو نوع من البرمجيات يؤخر النشاط الخبيث. فبعد تثبيته، تواصل مع خادم بعيد وقام بهدوء بتنزيل حصان طروادة Anatsa الفعلي، متخفيًا باسم ملف بريء هو «privacy.txt». وقد أتاحت هذه الاستراتيجية للتطبيق تجاوز دفاعات Google الآلية، التي غالبًا ما تفحص التطبيقات المرفوعة بحثًا عن برمجيات خبيثة واضحة قبل إتاحتها للعامة.

وبمجرد تفعيله، منح Anatsa نفسه صلاحيات واسعة على النظام عبر استغلال خدمات إمكانية الوصول في Android، ما منحه القدرة على مراقبة تفاعلات المستخدم وحتى التلاعب بمحتوى الشاشة. هدفه الأساسي: البيانات المالية للمستخدمين. فمن خلال وضع شاشات تسجيل دخول مزيفة فوق تطبيقات البنوك الشرعية، وتسجيل ضغطات المفاتيح، والتقاط الشاشات، واعتراض رسائل SMS - بما في ذلك كلمات المرور لمرة واحدة - مكّن Anatsa المهاجمين من سحب بيانات اعتماد حساسة، وفي بعض الحالات، تنفيذ معاملات احتيالية عن بُعد.

تم تنسيق التواصل مع المهاجمين عبر عدة خوادم قيادة وتحكم (C2)، ما أتاح لمشغلي البرمجية الخبيثة إصدار التعليمات وتحديث الحمولات وتهريب البيانات المسروقة. وعلى الرغم من جهود Google لاستئصال التطبيقات الخبيثة، تُظهر هذه الحملة كيف باتت الجهات المهدِّدة تستخدم بشكل روتيني تسليم الحمولات المؤجل والهندسة الاجتماعية للمرور عبر شبكات الأمان واستهداف المستخدمين العاديين.

ويؤكد الاختراق الحاجة إلى اليقظة: إذ يُنصح المستخدمون بتدقيق أذونات التطبيقات (خصوصًا طلبات الوصول إلى إمكانية الوصول)، وتجنب التطبيقات ذات المراجعات المحدودة أو المصادر غير الواضحة، والنظر في أدوات أمن جوال موثوقة. ومع استمرار المهاجمين في صقل أساليبهم، يزداد الخط الفاصل بين التطبيقات الآمنة وغير الآمنة على المنصات الرسمية رقةً - ما يجعل الوعي والحذر أكثر أهمية من أي وقت مضى.

ورغم أن Google Play يظل مصدرًا حيويًا لبرمجيات Android، فإن هذه الواقعة تذكير صارخ: حتى التنزيلات التي تبدو الأكثر أمانًا قد تحمل أخطارًا خفية. وفي عالم يندمج فيه مجرمو الإنترنت بسلاسة داخل الأسواق الرقمية، قد تكون أفضل وسيلة دفاع قاعدة مستخدمين واعية ومتشككة - تعرف أن قارئ المستندات قد لا يكون دائمًا ما يدّعيه.

WIKICROOK

  • حصان طروادة مصرفي: حصان طروادة المصرفي هو برمجية خبيثة تستهدف البيانات المالية عبر سرقة بيانات اعتماد الخدمات المصرفية والمعلومات الشخصية، وغالبًا ما تفعل ذلك بمحاكاة تطبيقات موثوقة.
  • مُسقِط: المُسقِط هو نوع من البرمجيات الخبيثة يثبت سرًا برامج خبيثة إضافية على جهاز مصاب، ما يساعد المهاجمين على تجاوز إجراءات الأمان.
  • خدمات إمكانية الوصول: خدمات إمكانية الوصول هي ميزات في Android تساعد المستخدمين ذوي الإعاقة، لكنها قد تُساء استخدامها من قبل البرمجيات الخبيثة للتحكم بالأجهزة أو سرقة البيانات.
  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا عبر خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • هجوم التراكب: يستخدم هجوم التراكب شاشات مزيفة توضع فوق التطبيقات الحقيقية لخداع المستخدمين لإدخال بيانات حساسة مثل كلمات المرور أو أرقام PIN، ما يتيح سرقة بيانات الاعتماد.
Trojan Google Play Malware
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news