كشفت تقارير أمنية عن حملة جديدة للتجسس الإلكتروني تستهدف مستخدمي هواتف أندرويد، وتعتمد على أسلوب احتيالي عاطفي يستخدم حسابات مواعدة مزيفة لسرقة البيانات الشخصية.
التطبيق الخبيث الذي يحمل اسم GhostChat يتنكر كمنصة دردشة شرعية، بينما يعمل في الخفاء كأداة تجسس متطورة تسجل البيانات دون علم المستخدم.
حملة اختراق صامتة تضرب مستخدمي أندرويد عبر واتساب
تشير هذه الحملة إلى اتجاه خطير في عالم الجريمة السيبرانية، حيث يمزج المهاجمون بين أساليب الهندسة الاجتماعية وبرمجيات التجسس المتقدمة لاختراق الهواتف الذكية والوصول إلى معلومات حساسة.
تم اكتشاف الحملة بعد رفع تطبيق أندرويد مشبوه إلى منصة VirusTotal من داخل باكستان في سبتمبر 2025، ويتخفى GhostChat على أنه تطبيق مواعدة يحمل اسم “Dating Apps without payment”، مستخدما أيقونة تطبيق حقيقي متاح على متجر جوجل بلاي.
لكن النسخة الخبيثة لم توزع عبر المتاجر الرسمية، بل تطلب من الضحايا تثبيتها يدويا بعد تفعيل خيار تثبيت التطبيقات من مصادر غير معروفة، مما يساعد المهاجمين على تفادي أنظمة الحماية مثل Google Play Protect في المراحل الأولى.
أوضح محللو Welivesecurity أن التطبيق يعتمد على طبقة خداع غير معتادة، حيث يعرض 14 حسابا نسائيا مزيفا، جميعها مقفلة وتحتاج إلى رموز مرور لفتحها، وتكون هذه الرموز مدمجة داخل التطبيق وموزعة مع ملف التثبيت لإيهام الضحايا بوجود وصول حصري.
بعد إدخال الرمز الصحيح، يتم تحويل المستخدم إلى تطبيق واتساب لبدء محادثة مع أرقام يديرها المهاجمون، وتحمل جميعها رموز اتصال لتعزيز المصداقية.
بينما يعتقد الضحايا أنهم يتواصلون مع أشخاص حقيقيين، يعمل برنامج التجسس في الخلفية على إرسال بيانات الجهاز إلى خادم التحكم والسيطرة.
يبدأ التطبيق فورا بجمع معرفات الجهاز، وقوائم جهات الاتصال، والملفات المخزنة بما في ذلك الصور وملفات PDF ومستندات مايكروسوفت Office.
كما ينشئ GhostChat نظام مراقبة مستمر عبر تتبع الصور الجديدة المجدولة، وإجراء فحوصات دورية كل خمس دقائق لاكتشاف أي مستندات جديدة، ما يضمن جمع البيانات طوال فترة الإصابة.
آلية الإصابة وتقنيات الاستمرارية
يعتمد GhostChat على آليات إصابة واستمرارية متقدمة تضمن بقاءه لفترات طويلة على الأجهزة المخترقة، فعند التثبيت، يطلب التطبيق أذونات تبدو طبيعية لتطبيقات الدردشة، لكنها تمنحه في الواقع قدرات مراقبة واسعة.
يستغل البرنامج الخبيث خاصية BOOT_COMPLETED في نظام أندرويد، مما يسمح له بالعمل تلقائيا عند إعادة تشغيل الجهاز، ويضمن استمراريته حتى بعد إيقاف التشغيل.
كما يستخدم تقنيات الاستمرارية في الواجهة الأمامية للحفاظ على تشغيل خدمة التجسس بشكل دائم دون لفت انتباه المستخدم، متجنبا بذلك أنظمة تحسين البطارية التي قد توقف نشاطه.
يتواصل التطبيق مع خوادم التحكم عبر اتصالات HTTPS مشفرة، مما يصعب عملية اكتشافه نظرا لتشابه حركة البيانات مع الاتصالات الشرعية.
بفضل هذا التصميم، يستطيع GhostChat تنفيذ تسريب فوري للبيانات عند أول تشغيل، إلى جانب مراقبة طويلة الأمد طوال دورة الإصابة، مما يجعله إطار تجسس متكاملا يعمل بمعزل عن تفاعل المستخدم مع واجهة تطبيق المواعدة المزيف.