الصفحة الرئيسية
Tech-News

تطبيقات التجسس المزيفة: 7.3 مليون عملية تنزيل تكشف ثغرات غوغل

Cybersecurity Arab

قضى باحثو الأمن في شركة ESET أشهراً في تحليل عائلة ضخمة من 28 تطبيق أندرويد احتيالياً، أطلقوا عليها اسم CallPhantom. هذه التطبيقات وعدت المستخدمين بإمكانية الوصول إلى نشاط أي هاتف: سجلات المكالمات، الرسائل النصية، وحتى سجلات واتساب. كل ما كان على المستخدم فعله هو إدخال رقم، ودفع رسوم بسيطة، ليظهر أمامه ما يدعونه «أسرار» ذلك الشخص. لكن ما ظهر كان مجرد خيال: أرقام هواتف عشوائية مزينة بأسماء وأ timestamps ثابتة، تولدها التطبيقات نفسها لتبدو حقيقية بما يكفي لخداع الضحايا. لم يحصل المستخدمون على هذه البيانات المزيفة إلا بعد دفعهم، وهو تسلسل لم يكن صدفة.

Fake stalking apps racked million of downloads. It says a lot about Google’s security and us

ثغرة خطيرة في متجر غوغل بلاي

استمرت جميع الـ28 تطبيق في متجر غوغل بلاي لفترة كافية لتراكم ملايين التنزيلات. أحدها نُشر تحت اسم «Indian gov.in»، وهو ما يوحي بصلته الرسمية بالحكومة الهندية، وهو ادعاء لا أساس له. العديد من هذه التطبيقات احتوت على مراجعات صريحة من مستخدمين أعلنوا تعرضهم للنصب، لكن هذه التحذيرات كانت تتعايش مع مجموعات من التقييمات الخمس نجوم المشبوهة التي حافظت على تقييمات التطبيقات تبدو لائقة. أبلغت ESET غوغل عن هذه التطبيقات في ديسمبر 2025، وتمت إزالتها لاحقاً. لكن الإزالة جاءت بناءً على تقرير خارجي، وليس بفضل اكتشاف غوغل للخلل بنفسه.

بالنسبة لمنصة استثمرت كثيراً في أنظمة الكشف التلقائي عن التهديدات وإطار عمل الدفاع عن التطبيقات، فإن السماح لـ28 نسخة من نفس الاحتيال — وكلها تعد بميزة مستحيلة تقنياً — بتراكم ملايين التنزيلات هو ثغرة كبيرة. بعض التطبيقات تفاقمت سوءاً بتجاوزها بنية الدفع الرسمية لغوغل، حيث وجهت المستخدمين إلى معاملات UPI من جهات خارجية أو إلى حقول إدخال البطاقات المصرفية المضمنة داخل التطبيق. هذا انتهاك واضح لسياسات متجر غوغل بلاي، لكنه يعني أيضاً أن غوغل لا يمكنه إصدار استرداد للمستخدمين. من دفع خارج النظام الرسمي مطالب بالدفع، عليهم ملاحقة مزودي الدفع أو المطورين أنفسهم، الذين لن يكونوا حريصين على المساعدة.

صورة توضيحية من المقال
صورة توضيحية من المقال

لماذا نجح الاحتيال؟

الجانب الأكثر إزعاجاً في هذه القصة هو الدافع وراء 7.3 مليون تنزيل. لم تقدم هذه التطبيقات تخزيناً سحابياً أو طرقاً جديدة لتعديل الصور. بل قدمت شيئاً أراده الناس بشدة ودفعوا من أجله: القدرة على التجسس على شخص ما — شريك، سابق، مراهق، أو جهة اتصال عمل. مهما كان السبب، كان هناك جمهور كبير ومستعد لدفع ثمن هذه الفكرة. استغلت التطبيقات هذه الرغبة بدقة قاسية. فقد حددت رمز الدولة الهندي +91 افتراضياً ودعمت مدفوعات UPI، ما يشير إلى أن المحتالين فهموا جمهورهم المستهدف جيداً. تراوحت مستويات الاشتراك من بضعة يوروات أسبوعياً إلى 80 دولاراً سنوياً، مما أعطى المستخدمين خيارات بدت وكأنها خدمة شرعية تلبي احتياجات مختلفة. في إحدى الحالات، عندما حاول مستخدم الخروج دون دفع، أرسل التطبيق إشعاراً وهمياً يشبه البريد الإلكتروني يفيد بوصول النتائج — دفعة أخيرة قادت المستخدم مباشرة إلى جدار الدفع. نجح هذا لأن الفضول قوة كبيرة، وكانت التطبيقات مصممة من أشخاص يفهمون ذلك.

عند إزالة الهيكل التقني، ما يتبقى هو احتيال قديم جداً: charging شخصاً مقابل شيء يريده بشدة، وإعطائه لا شيء يبدو معقولاً، والاعتماد على الإحراج لمنعهم من الشكوى بصوت عالٍ. لمن وقع في هذا الفخ، يمكن إلغاء الاشتراكات التي تمت عبر نظام الدفع الرسمي لغوغل بلاي — وربما استرداد الأموال — من خلال إعدادات الدفع في المتجر. أما كل شيء آخر، فهو محادثة أصعب مع من قام بمعالجة الدفع.

صورة توضيحية من المقال

إرسال تعليق