تطبيق Ledger Live مزيف على App Store يسرق 9.5 مليون دولار في 7 أيام — تحذير لمسؤولي أمن المؤسسات المالية السعودية

في الفترة بين 7 و13 أبريل 2026، بقي تطبيق مزيف يحمل اسم "Ledger Live" على Apple App Store طويلاً بما يكفي لسرقة 9.5 مليون دولار من أصول رقمية تخص 50 ضحية، قبل أن تسحبه Apple إثر موجة تقارير المستخدمين. ليست هذه مجرد حادثة سرقة عملات مشفرة — بل هي دليل ساطع على أن آليات مراجعة متاجر التطبيقات لا تُشكّل خط الدفاع الكافي، وأن مسؤولية أمن التطبيقات تقع في المقام الأول على عاتق المؤسسة نفسها.

كيف نجح التطبيق المزيف في تجاوز فحص Apple؟

رُفع التطبيق على App Store تحت اسم الناشر "Leva Heal Limited"، وهو حساب لا صلة له مطلقاً بفريق Ledger الفرنسي الحقيقي. لإكساب التطبيق مصداقية زائفة، نشر المهاجم إصدارات متتالية بسرعة مثيرة للريبة — من الإصدار 1.0 إلى 5.0 في أقل من أسبوعين — مما أوحى بنشاط تطوير حقيقي ومستمر. بمجرد تثبيت التطبيق وتشغيله، يُطلب من المستخدم إدخال عبارة الاسترداد (Seed Phrase) بذريعة "التحقق من المحفظة"، فتنتقل السيطرة الكاملة على الأصول إلى المهاجم الذي يُسارع إلى تحويلها إلى عناوين خارج سيطرة الضحية. خلال ستة أيام فقط سُرق: 3.23 مليون دولار USDT في 9 أبريل، و2.08 مليون دولار USDC في 11 أبريل، و1.95 مليون دولار في BTC وETH وstETH في 8 أبريل، فضلاً عن عشرات الضحايا بمبالغ أصغر.

غسيل الأموال عبر 150 عنوان KuCoin وخدمة AudiA6

لم يتوقف المهاجم عند السرقة؛ بل لجأ إلى منظومة متطورة لإخفاء المسار المالي. جرى توجيه الأصول المسروقة عبر أكثر من 150 عنوان إيداع في منصة KuCoin، ثم خلطها بواسطة خدمة "AudiA6"، وهي خدمة مزج مركزية معروفة بارتفاع رسومها وفعاليتها في تعتيم مسارات المعاملات على السلسلة. هذا المستوى من التعقيد في غسيل الأموال لا يتسق مع فرد فرصوي يعمل بمفرده، بل يُشير إلى جهة منظمة تمتلك بنية تحتية مالية جاهزة ومُحكمة، ما يرفع درجة الخطورة ويُلمّح إلى نية التكرار.

التأثير على المؤسسات المالية السعودية الخاضعة لرقابة SAMA وNCA

قد يبدو الأمر للوهلة الأولى أنه شأن حاملي العملات المشفرة الأفراد، لكن ثمة أبعاداً تنظيمية مباشرة. تشترط الضوابط 3.3.5 من إطار SAMA CSCC تطبيق مبدأ "الثقة الصفرية" في التحقق من هوية التطبيقات والخدمات، ومنع أي وصول غير مفوّض عبر تطبيقات الطرف الثالث. من جهتها، تُلزم الضوابط 8-2 و8-3 من إطار NCA ECC المؤسسات بإجراء تقييم مخاطر شامل لتطبيقات الهاتف المحمول المتاحة للموظفين والعملاء، مع التحقق من هوية الناشر قبل السماح بالتثبيت على الأجهزة المؤسسية. علاوة على ذلك، يستوجب نظام PDPL مراجعة كل تطبيق قد يُعالج بيانات شخصية للعملاء أو الموظفين، لأن التطبيق المزيف في ذاته يمثل قناة محتملة لتسريب بيانات التعريف الشخصية (PII). أقسام الخزانة وإدارة الأصول الرقمية والفروع التي تعتمد على تطبيقات موقّعة خارجياً هي الأكثر عرضة لهذا النوع من الهجمات.

التوصيات والخطوات العملية

1. سياسة إدارة التطبيقات المحمولة (MAM/MDM): فعّل حلاً لـ MDM أو MAM يمنع تثبيت أي تطبيق على الأجهزة المؤسسية دون موافقة مسبقة من فريق أمن المعلومات. التحقق من Publisher ID الرسمي يجب أن يكون شرطاً إلزامياً قبل القبول.
2. تدريب صريح على مخاطر عبارات الاسترداد: أي تطبيق — بصرف النظر عن مصدره أو تقييماته — يطلب إدخال Seed Phrase هو تطبيق مشبوه وجب الإبلاغ عنه فوراً. اجعل هذا المبدأ ركيزة في برنامج التوعية الأمنية لديك.
3. تدقيق قائمة التطبيقات المعتمدة (Application Whitelist): راجع قائمتك الحالية وتحقق من مطابقة هوية الناشر مع البيانات الرسمية على موقع المطوّر مباشرةً، وليس فقط اسم التطبيق في المتجر.
4. رصد حركة الشبكة الصادرة من الأجهزة المحمولة: استخدم حلول CASB أو Mobile Threat Defense (MTD) للكشف عن أنماط اتصال غير معتادة صادرة عن تطبيقات جديدة التثبيت، لا سيما التواصل مع خوادم C2 أو خدمات التشفير المجهولة الهوية.
5. اختبار اختراق دوري للتطبيقات المحمولة الخاصة بك: تأكد من أن تطبيقاتك المقدمة للعملاء تخضع لـ VAPT منتظم وفق OWASP Mobile Top 10، وأنك تُقيّم مخاطر SDKs والمكتبات الخارجية بصورة دورية.
6. إجراء إبلاغ واضح عن التطبيقات المشبوهة: أنشئ قناة إبلاغ سريعة تُمكّن الموظفين من الإشارة إلى أي تطبيق مريب دون تردد، مع تعيين مسؤول واضح لمتابعة البلاغات والتصعيد.

الخلاصة

حادثة Ledger Live المزيف ليست استثناءً نادراً؛ بل هي نمط متكرر تتجاوز فيه جهات التهديد آليات مراجعة أكبر متاجر التطبيقات في العالم. الدرس لا يتعلق بالعملات المشفرة وحدها — بل يتعلق بمستوى ثقة مؤسستك في التطبيقات التي تستخدمها يومياً، ومدى قدرتك على التحقق من الهوية الحقيقية للناشر في بيئة تُخدَع فيها حتى متاجر التطبيقات الكبرى. في ظل تصاعد رقابة SAMA وNCA على ضوابط أمن التطبيقات المحمولة، لم يعد الاعتماد على "الثقة الافتراضية" خياراً مقبولاً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.