Mirax RAT: برنامج التجسس الذي يحوّل هواتف موظفيك إلى بوابات اختراق — 220,000 جهاز أندرويد مصاب عبر إعلانات Meta

في منتصف أبريل 2026، رصد باحثو الأمن السيبراني حملة إعلانية ممنهجة على منصات Meta — فيسبوك وانستغرام وماسنجر وثريدز — تروّج لتطبيقات أندرويد تبدو مشروعة، لكنها تحمل في طياتها أحد أخطر برامج التحكم عن بُعد المكتشفة حديثاً: Mirax RAT. أصاب هذا البرنامج أكثر من 220,000 جهاز حول العالم، وهو لا يكتفي بسرقة البيانات، بل يُحوّل كل جهاز مخترق إلى بوابة تجسس صامتة يستخدمها المهاجمون لإخفاء هوياتهم وتنفيذ عمليات أخرى.

ما هو Mirax RAT ولماذا يختلف عن سابقيه؟

Mirax هو برنامج وصول عن بُعد (Remote Access Trojan) مصمم خصيصاً لأنظمة أندرويد، ويُعرض للبيع في منتديات الهاكرز بسعر يبدأ من 1,750 دولاراً شهرياً للنسخة الخفيفة، وصولاً إلى 2,500 دولار كل ثلاثة أشهر للنسخة الكاملة. ما يميّزه تقنياً هو دمجه بين قدرتين نادراً ما تجتمعان: التحكم الكامل في الجهاز عبر خدمات إمكانية الوصول (Accessibility Services)، وتحويل الجهاز إلى بروكسي سكني (Residential Proxy) باستخدام بروتوكول SOCKS5 مع تقنية Yamux للتشعّب. بمعنى آخر، المهاجم لا يرى فقط ما يجري على الهاتف، بل يوجّه كل حركة مروره الخبيثة عبر عنوان IP الضحية الحقيقي، مما يجعل كشفه شبه مستحيل بالأدوات التقليدية.

يستهدف البرنامج في المقام الأول الناطقين بالإسبانية، غير أن آلية توزيعه عبر الإعلانات المدفوعة على Meta تجعل انتشاره الجغرافي غير محدود. والأكثر إثارة للقلق أنه يُباع حصرياً لمجموعة محدودة من الجهات الروسية ذات السمعة الراسخة في الأوساط السرية، مما يدل على أنه سلاح هجومي مُوجَّه وليس أداة عشوائية.

آلية الاختراق: من إعلان فيسبوك إلى تحكم كامل في الجهاز

تبدأ سلسلة الهجوم بإعلان مدفوع على إحدى منصات Meta يروّج لتطبيق يبدو مفيداً — أداة إنتاجية، تطبيق خدمات، أو محتوى ترفيهي. ينقر المستخدم على الرابط فيُحال إلى صفحة تنزيل خارج متجر Google Play. عند التثبيت، يطلب التطبيق صلاحيات إمكانية الوصول، وهي الصلاحية التي تمنح التحكم التام في الشاشة، واعتراض الرسائل، وتشغيل التطبيقات، وحتى تجاوز Google Play Protect. بمجرد منح هذه الصلاحية، يصبح الجهاز تحت سيطرة المهاجم الذي يستطيع قراءة رسائل SMS وOTP، والدخول إلى تطبيقات البنوك، وتصوير الشاشة، وتسجيل نقرات لوحة المفاتيح — كل ذلك دون أن يُلاحظ المستخدم أي نشاط غير مألوف.

ما يُضيفه Mirax فوق كل ذلك هو تشغيل قناة SOCKS5 مستمرة تجعل الجهاز المخترق وسيطاً لعمليات أخرى: الاحتيال المصرفي، واختبار بيانات الاعتماد المسروقة، وحملات التصيد — كلها تمر عبر IP المستخدم البريء.

التأثير المباشر على المؤسسات المالية السعودية

قد يبدو هذا التهديد بعيداً، لكنه يمس مؤسساتنا المالية من زوايا متعددة. أولاً، الموظفون: كثير من موظفي البنوك وشركات التأمين وصناديق الاستثمار يستخدمون هواتفهم الشخصية للوصول إلى أنظمة العمل أو تطبيقات الإنتاجية المؤسسية. هاتف موظف واحد مصاب بـ Mirax يمنح المهاجم مفتاحاً لاعتراض OTP الخاصة بالمصادقة الثنائية، وقراءة رسائل العمل، وربما الوصول إلى VPN المؤسسي. ثانياً، العملاء: تطبيقات الخدمات المصرفية عبر الهاتف المحمول تُعدّ هدفاً رئيسياً لـ Mirax، الذي يستطيع تسجيل بيانات تسجيل الدخول والتحويل الأول قبل أن تُرسَل رسالة التأكيد. ثالثاً، الامتثال التنظيمي: متطلبات SAMA CSCC تُلزم المؤسسات المالية بتأمين القنوات الرقمية وتطبيق ضوابط على الأجهزة المحمولة، كما يفرض NCA ECC حماية واضحة لنقاط النهاية. وجود جهاز مخترق داخل بيئة العمل يُشكّل انتهاكاً محتملاً لهذه المتطلبات يستوجب الإفصاح والمعالجة.

التوصيات والخطوات العملية

1. نشر حل MDM أو UEM فوراً: إذا كانت مؤسستك تسمح باستخدام الأجهزة الشخصية (BYOD)، فتطبيق سياسة Mobile Device Management يُمكّنك من حظر التطبيقات خارج المتاجر الرسمية وفحص حالة أمان الجهاز قبل السماح بالوصول إلى الأنظمة المؤسسية.
2. تفعيل كشف الشذوذ على مستوى الشبكة: حركة SOCKS5 الصادرة من أجهزة الموظفين خارج ساعات العمل أو نحو وجهات غير مألوفة يجب أن تُثير تنبيهاً فورياً في SOC. راجع قواعد SIEM الخاصة بكم للكشف عن أنماط Yamux multiplexing.
3. تقييد صلاحيات إمكانية الوصول: ثقّف موظفيك وعملاءك على خطورة منح Accessibility Services لأي تطبيق. هذه الصلاحية هي أخطر الصلاحيات على أندرويد وينبغي رفضها دائماً إلا للتطبيقات الموثوقة جداً كقارئات الشاشة.
4. مراجعة سياسة التحقق من الهوية متعدد العوامل: OTP عبر SMS أصبحت هشّة في مواجهة Mirax. انتقل نحو مفاتيح FIDO2 المادية أو تطبيقات المصادقة المستقلة لحسابات الوصول عالي الامتياز.
5. تحليل بصمات التطبيقات على الأجهزة المؤسسية: فعّل فحص Indicators of Compromise الخاصة بـ Mirax؛ الباحثون نشروا يُعرّفات APK وعناوين IP الخاصة بالبنية التحتية للتحكم (C2) يمكن إضافتها إلى قوائم الحظر في جدار حماية الجيل التالي.
6. إجراء تقييم أمان تطبيقات الهاتف المحمول: إذا كانت مؤسستك تمتلك تطبيق بنكي، تحقق من أن الكود لا يُقدّم طبقة ثقة لأجهزة التشغيل ذات الصلاحيات الجذرية (Rooted) أو التي تعمل بتوقيعات تطبيقات مشبوهة.
7. إبلاغ هيئة الاتصالات وتقنية المعلومات والمركز الوطني للأمن السيبراني: وفقاً لإطار NCA ECC، أي مؤشر على اختراق بنية تحتية مؤسسية يستوجب إبلاغ الجهات المختصة ضمن الأطر الزمنية المحددة.

الخلاصة

Mirax RAT ليس مجرد برنامج تجسس آخر — إنه يمثّل تحولاً نوعياً في نموذج الهجمات على الأجهزة المحمولة: الجمع بين الاستخبارات الآنية عبر التحكم الكامل في الجهاز، وإخفاء الهوية عبر تحويل الضحايا إلى بنية تحتية للهجوم. للمؤسسات المالية السعودية، هذا النوع من التهديدات يتجاوز نطاق قسم الأمن وحده — إنه يستدعي مراجعة شاملة لسياسات الأجهزة المحمولة، ومسارات المصادقة، ومتطلبات الامتثال مع SAMA وNCA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وNCA ECC، وتحليل مخاطر الأجهزة المحمولة في بيئتك المؤسسية.