كشفت تقارير أمنية حديثة عن ظهور حملة تجسس إلكتروني جديدة تستهدف مستخدمي هواتف أندرويد، وتعتمد على احتيال عاطفي منظم عبر حسابات مواعدة مزيفة، بهدف سرقة البيانات الشخصية والتجسس على الضحايا دون علمهم.
تطبيق خبيث يتخفى في صورة منصة دردشة
يحمل التطبيق الخبيث اسم GhostChat، ويتنكر في هيئة منصة دردشة ومواعدة تبدو شرعية، بينما يعمل في الخلفية كأداة تجسس متقدمة قادرة على تنفيذ عمليات مراقبة وسرقة بيانات حساسة بشكل صامت.
حملة اختراق صامتة عبر واتساب
تعكس هذه الحملة اتجاهاً خطيراً في عالم الجرائم السيبرانية، حيث يمزج القراصنة بين الهندسة الاجتماعية وبرمجيات التجسس المتطورة لاختراق الهواتف الذكية والوصول إلى معلومات المستخدمين.
وتم رصد الحملة لأول مرة بعد رفع تطبيق أندرويد مشبوه إلى منصة VirusTotal من داخل باكستان في سبتمبر 2025. ويتخفى التطبيق تحت اسم
“Dating Apps without payment”، مستخدماً أيقونة تطبيق حقيقي متوافر على متجر جوجل بلاي، ما يعزز من مصداقيته لدى الضحايا.
خارج المتاجر الرسمية لتفادي الحماية
ورغم التشابه مع تطبيقات موثوقة، لم يتم توزيع النسخة الخبيثة عبر المتاجر الرسمية، بل طُلب من الضحايا تثبيتها يدويًا بعد تفعيل خيار التثبيت من مصادر غير معروفة، وهي خطوة تسمح بتجاوز أنظمة الحماية مثل Google Play Protect في المراحل الأولى.
حسابات وهمية وخداع متعدد الطبقات
وأوضح محللو Welivesecurity أن GhostChat يعتمد على طبقة خداع غير معتادة، إذ يعرض داخل التطبيق 14 حسابًا نسائيًا مزيفًا، جميعها مغلقة وتتطلب رموز مرور لفتحها.
وتكون هذه الرموز مدمجة داخل التطبيق ومرفقة بملف التثبيت، لإيهام المستخدم بوجود وصول حصري أو مميز. وبعد إدخال الرمز الصحيح، يتم تحويل الضحية مباشرة إلى تطبيق واتساب لبدء محادثة مع أرقام يديرها المهاجمون، وتحمل رموز اتصال دولية لتعزيز المصداقية.
سرقة بيانات أثناء المحادثات الوهمية
وفي الوقت الذي يعتقد فيه الضحايا أنهم يتواصلون مع أشخاص حقيقيين، يعمل برنامج التجسس في الخلفية على إرسال بيانات الجهاز إلى خوادم التحكم والسيطرة.
ويبدأ التطبيق فورًا بجمع:
معرفات الجهاز
قوائم جهات الاتصال
الملفات المخزنة
الصور
ملفات PDF
مستندات Microsoft Office
كما ينشئ نظام مراقبة مستمر، عبر تتبع الصور الجديدة المجدولة، وإجراء فحوصات دورية كل خمس دقائق لاكتشاف أي مستندات جديدة، ما يضمن جمع البيانات طوال فترة الإصابة.
آليات الإصابة وتقنيات الاستمرارية
يعتمد GhostChat على آليات إصابة واستمرارية متقدمة تضمن بقاءه لفترات طويلة على الأجهزة المخترقة. فعند التثبيت، يطلب التطبيق أذونات تبدو طبيعية لتطبيقات الدردشة، لكنها تمنحه في الواقع صلاحيات مراقبة واسعة.
ويستغل البرنامج الخبيث خاصية BOOT_COMPLETED في نظام أندرويد، ما يسمح له بالعمل تلقائيًا عند إعادة تشغيل الهاتف، ويضمن استمراريته حتى بعد إيقاف التشغيل.
كما يستخدم تقنيات للحفاظ على نشاطه في الواجهة الأمامية، متجنبًا أنظمة تحسين البطارية التي قد تعيق عمله، مع الحفاظ على تشغيل خدمة التجسس دون لفت انتباه المستخدم.
اتصالات مشفرة وتسريب طويل الأمد
ويتواصل التطبيق مع خوادم التحكم عبر اتصالات HTTPS مشفرة، ما يصعّب اكتشافه نظرًا لتشابه حركة البيانات مع الاتصالات الشرعية.
وبفضل هذا التصميم، يستطيع GhostChat تنفيذ تسريب فوري للبيانات عند أول تشغيل، إلى جانب مراقبة طويلة الأمد طوال دورة الإصابة، ليعمل كإطار تجسس متكامل دون الحاجة إلى أي تفاعل لاحق من المستخدم.
