برمجية NoVoice الخبيثة تخترق 2.3 مليون جهاز أندرويد وتسرق جلسات واتساب

كشف باحثون أمنيون في McAfee Labs عن حملة برمجيات خبيثة واسعة النطاق أُطلق عليها اسم "NoVoice"، نجحت في إصابة أكثر من 2.3 مليون جهاز أندرويد عبر أكثر من 50 تطبيقاً مُدرجاً على متجر Google Play. الخطورة الحقيقية لهذه البرمجية تكمن في قدرتها على استنساخ جلسات واتساب بالكامل، مما يتيح للمهاجمين قراءة الرسائل وانتحال هوية الضحية — تهديد بالغ الأثر على المؤسسات المالية التي تعتمد على واتساب في اتصالات الأعمال.

كيف تعمل برمجية NoVoice: من التطبيق البريء إلى الاستيلاء الكامل

تتخفى NoVoice داخل تطبيقات تبدو مشروعة تماماً — أدوات تنظيف، معارض صور، وألعاب بسيطة — ولا تطلب أي صلاحيات مشبوهة عند التثبيت. بمجرد فتح التطبيق، تستغل البرمجية ثغرات قديمة في نظام أندرويد صدرت تصحيحاتها بين عامي 2016 و2021 للحصول على صلاحيات الجذر (Root Access). اللافت أن البرمجية تُخفي مكوناتها الخبيثة داخل حزمة com.facebook.utils، مُدمجةً إياها مع فئات Facebook SDK الحقيقية لتفادي الكشف، كما تستخدم تقنية الإخفاء ضمن الصور (Steganography) لتشفير حمولتها داخل ملف PNG عادي.

سرقة جلسات واتساب: التهديد الأخطر

عند تشغيل تطبيق واتساب على جهاز مصاب، تستخرج NoVoice بيانات حساسة تشمل قواعد بيانات التشفير، مفاتيح بروتوكول Signal، ومعرّفات الحساب كرقم الهاتف وتفاصيل النسخ الاحتياطي على Google Drive. تُرسَل هذه البيانات إلى خادم التحكم والسيطرة (C2)، مما يتيح للمهاجمين استنساخ جلسة واتساب الضحية على جهاز آخر بالكامل. هذا يعني وصولاً كاملاً لسجل المحادثات، المجموعات، الملفات المشتركة، وحتى القدرة على إرسال رسائل باسم الضحية دون علمه.

ثبات استثنائي يقاوم حتى إعادة ضبط المصنع

تُرسّخ NoVoice وجودها عبر طبقات متعددة من آليات الثبات: تثبيت سكربتات استرداد تلقائية، استبدال معالج أعطال النظام (Crash Handler) بمحمّل للبرمجية الخبيثة، وتخزين حمولات احتياطية على قسم النظام (System Partition). ولأن هذا القسم لا يُمسح عند إعادة ضبط المصنع، تبقى البرمجية فعّالة حتى بعد محاولات التنظيف الشاملة — وهي خاصية نادرة تجعل الاستجابة للحادث أكثر تعقيداً بكثير.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد كثير من المؤسسات المالية في المملكة على واتساب في التواصل الداخلي ومع العملاء، مما يجعل هذا التهديد ذا صلة مباشرة بالقطاع. وفقاً لمتطلبات إطار الأمن السيبراني لـ SAMA (CSCC)، تلتزم المؤسسات المالية بضمان أمن الأجهزة المحمولة المستخدمة في بيئة العمل، بما يشمل فرض سياسات إدارة الأجهزة المحمولة (MDM) وتقييد التطبيقات المسموح بتثبيتها. كما يُلزم إطار NCA ECC بضوابط صارمة لحماية نقاط النهاية ومنع تسرب البيانات عبر القنوات غير المصرّح بها. استنساخ جلسة واتساب لموظف في قسم الامتثال أو الخزينة قد يُفضي إلى تسريب بيانات عملاء محمية بنظام حماية البيانات الشخصية (PDPL)، أو تنفيذ عمليات احتيال عبر الهندسة الاجتماعية باستخدام هوية الموظف المُنتحَلة.

التوصيات والخطوات العملية

1. تحديث أجهزة أندرويد فوراً: الأجهزة العاملة بتحديثات مايو 2021 وما بعده محصّنة ضد الثغرات المُستغَلة. راجع أسطول أجهزة المؤسسة عبر حل MDM وحدّد الأجهزة المتأخرة في التحديث.
2. تفعيل سياسة القائمة البيضاء للتطبيقات: استخدم حلول إدارة الأجهزة المحمولة لتقييد التطبيقات المسموح بتثبيتها على الأجهزة المؤسسية، ومنع تثبيت التطبيقات من مصادر غير موثوقة.
3. فحص أجهزة الموظفين الحالية: استخدم مؤشرات الاختراق (IoCs) التي نشرتها McAfee للبحث عن وجود حزمة com.facebook.utils المشبوهة أو اتصالات بخوادم C2 المعروفة.
4. مراجعة سياسة استخدام واتساب المؤسسي: قيّم ما إذا كانت البيانات الحساسة تُتداول عبر واتساب، وانتقل إلى منصات مراسلة مؤسسية مشفرة ومعتمدة مع إدارة مركزية للمفاتيح.
5. تدريب الموظفين على مؤشرات الإصابة: وعّ الموظفين بعلامات اختراق الجهاز مثل الاستنزاف السريع للبطارية، ارتفاع حرارة الجهاز، أو ظهور تطبيقات غير مألوفة.
6. تحديث خطة الاستجابة للحوادث: أضف سيناريو استنساخ جلسات المراسلة إلى خطة الاستجابة، مع تحديد إجراءات الاحتواء كإبطال جلسات واتساب النشطة وإعادة تسجيل الأجهزة المشتبه بها.

الخلاصة

تُمثّل حملة NoVoice نقلة نوعية في تهديدات الأجهزة المحمولة: برمجية تتجاوز فحوصات Google Play، تحصل على صلاحيات الجذر، تسرق جلسات مراسلة كاملة، وتقاوم إعادة ضبط المصنع. بالنسبة للمؤسسات المالية السعودية التي تعتمد على واتساب في عملياتها اليومية، فإن تجاهل هذا التهديد ليس خياراً — خاصة مع متطلبات SAMA CSCC و NCA ECC الصارمة حول أمن نقاط النهاية وحماية البيانات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وفحص شامل لأمن الأجهزة المحمولة في مؤسستك.