ESET تكشف حملات تجسس تستهدف مستخدمي أندرويد في الإمارات

كشف باحثون من شركة الأمن السيبراني ESET عن حملتي تجسس جديدتين على أندرويد تحملان اسمي ProSpy وToSpy، تستهدفان مستخدمين في الإمارات عبر تطبيقات مزيّفة تنتحل هويّات تطبيقات تراسل معروفة مثل Signal وToTok.

وتعتمد الحملتان على مواقع مقلَّدة وعمليات خداع اجتماعي لدفع الضحايا إلى تنزيل برمجيات خبيثة من خارج المتاجر الرسمية، ثم جمع بيانات حسّاسة من الهواتف المصابة تشمل الرسائل القصيرة وجهات الاتصال وملفات المستخدم ومعلومات الجهاز.

تقول شركة ESET إن ProSpy ظهر إلى العلن في يونيو/حزيران 2025 على الأرجح بعد نشاط بدأ في 2024، عبر نسخ مزيفة تحمل اسمَيْ Signal Encryption Plugin وToTok Pro.

أمّا ToSpy فبدأ رصده منذ 30 يونيو 2022 ولا يزال نشطًا، مستندًا إلى مواقع تحاكي منصّات توزيع التطبيقات، بينها صفحة تُقلّد جالاكسي ستور من سامسونج. ويؤكد التقرير أن أيًّا من هذه التطبيقات الخبيثة لم يكن متاحًا على متجر جوجل بلاي وأن تثبيتها تطلَّب تفعيل التحميل من مصادر غير معروفة.

ويوضح التقرير الذي نشرته شركة ESET أن البرمجيات الخبيثة تلجأ إلى حِيَل ترسّخ الوهم بالشرعية. فنسخة ToTok Pro تعرِض زر "متابعة" يعيد المستخدم إلى صفحة التنزيل الرسمية لتطبيق ToTok، بينما يواصل البرنامج الخبيث العمل في الخلفية لجمع البيانات، ليظهر على هاتف الضحية تطبيقين، هما ToTok وToTok Pro.

وفي سيناريو Signal، يغيّر التطبيق المزيف اسمه وأيقونته إلى Google Play Services بعد منح الأذونات، بحيث يفتح النقر عليه شاشة معلومات خدمات جوجل بلاي الحقيقية ويختفي أثره عن عين المستخدم.

يُذكر  أن خدمة Google Play Protect، المُفعَّلة افتراضيًا على الأجهزة المعتمدة، ترصد الإصدارات المعروفة من هذه البرمجيات الضارة وتحذّر المستخدمين أو تحظر التطبيقات الخبيثة حتى لو جاءت من خارج Google Play.

وتنصح ESET المستخدمين بتجنّب تنزيل أي تطبيقات أو إضافات خارج المتاجر الرسمية، خصوصًا تلك التي تزعم تعزيز الأمان أو التشفير، والامتناع عن تفعيل التثبيت من مصادر غير معروفة.