NoVoice: روتكيت أندرويد اخترق 2.3 مليون جهاز عبر Google Play — وتطبيقات البنوك السعودية في دائرة الخطر

في أوائل أبريل 2026، كشف فريق أبحاث McAfee للهواتف المحمولة عن عملية واسعة النطاق أُطلق عليها اسم "Operation NoVoice"، تضمّنت زرع روتكيت متطور داخل أكثر من 50 تطبيقاً كانت متاحة على Google Play، حُمِّلت مجتمعةً أكثر من 2.3 مليون مرة. ما يجعل هذا التهديد استثنائياً ليس فقط حجمه، بل طبيعته: روتكيت يصمد أمام إعادة ضبط المصنع، ويستطيع استنساخ جلسات واتساب والنفاذ إلى أي تطبيق على الجهاز — بما في ذلك تطبيقات الخدمات المصرفية السعودية.

ما هو NoVoice وكيف انتشر عبر Google Play؟

اختبأ NoVoice خلف تطبيقات مُقنَّعة في هيئة أدوات تنظيف، معارض صور، وألعاب بسيطة — وهي أصناف اعتادت جهات التحقق في متجر Google Play على الثقة بها. فور تثبيت التطبيق المخترق، يُفعَّل سلسلة من 22 ثغرة معروفة تستهدف نواة الأندرويد ومشغّل Mali GPU، تمنح المهاجم صلاحيات الجذر (Root) وتُعطّل إنفاذ SELinux كلياً. يستبدل الروتكيت بعدها مكتبات نظام أساسية مثل libandroid_runtime.so وlibmedia_jni.so بنسخ مُخترقة تُعترض استدعاءات النظام وتُحيلها إلى كود الهجوم — مما يعني أن كل تطبيق على الجهاز يُنفَّذ تحت سيطرة المهاجم دون أي مؤشر للمستخدم.

الأخطر من ذلك أن NoVoice يُثبّت نفسه على قسم التخزين الخاص بالنظام، وهو القسم الذي لا تمسّه عملية إعادة الضبط للمصنع؛ ما يعني أن الجهاز يبقى مخترقاً حتى بعد أشد إجراءات التنظيف الاعتيادية. الحل الوحيد هو إعادة كتابة الفيرموير بالكامل (Reflash).

استنساخ جلسات WhatsApp وتهديد تطبيقات الخدمات المالية

المهمة الأولى الموثّقة التي نفّذها NoVoice كانت استنساخ جلسات واتساب بالكامل: يستخرج الروتكيت قواعد بيانات التشفير، مفاتيح بروتوكول Signal، معرّف الهاتف، وبيانات نسخة Google Drive الاحتياطية — وهو ما يكفي لتسجيل الدخول إلى حساب الضحية من جهاز بعيد وقراءة كل محادثاتها السابقة والمستقبلية. لكن McAfee نبّهت إلى أن البنية المعمارية لـ NoVoice معيارية تماماً: يمكن برمجة خوادم القيادة والسيطرة (C2) لإرسال أي مهمة أخرى، كاستهداف تطبيقات الخدمات المصرفية، بطاقات الدفع الرقمية، أو حتى تطبيقات المحافظ الإلكترونية الخاضعة لرقابة SAMA.

في السياق السعودي، يُستخدم واتساب على نطاق واسع داخل المؤسسات المالية للتواصل الداخلي وتوثيق الموافقات. اختراق جلسة واتساب لموظف في قسم الخزانة أو الامتثال يعني بالنسبة للمهاجم نافذة مباشرة على بيانات التشغيل الداخلي، أوامر التحويل، وبيانات العملاء الحساسة.

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA وNCA

تُلزم الفقرة 3-4 من إطار SAMA CSCC المؤسساتِ المالية بتطبيق برنامج شامل لإدارة أمن الأجهزة المحمولة (MDM/MAM)، يشمل التحقق من سلامة الجهاز قبل السماح له بالوصول إلى الشبكات الداخلية. كما تشترط ضوابط NCA ECC في قسم 2-6 تصنيف الأجهزة الشخصية (BYOD) المستخدمة في بيئات العمل وفق مستوى المخاطرة وتطبيق ضوابط العزل. أجهزة الأندرويد التي لا تعمل بمستوى تصحيح مايو 2021 أو أحدث هي عُرضة للاستغلال الكامل بواسطة NoVoice. في ظل انتشار أجهزة أندرويد القديمة في السوق السعودية، يتحوّل هذا التهديد من إشكالية تقنية إلى مخاطرة امتثالية مباشرة.

إضافةً إلى ذلك، تفرض لوائح حماية البيانات الشخصية (PDPL) على المؤسسات الإبلاغ الفوري عن أي اختراق يطال بيانات العملاء. إذا ثبت أن جهاز موظف مصاب بـ NoVoice قد التقط بيانات عملاء عبر تطبيق مصرفي، تصبح المؤسسة ملزمة قانونياً بالإخطار والتحقيق، مع ما يترتب على ذلك من أعباء تشغيلية وسمعية.

التوصيات والخطوات العملية

1. التحقق الفوري من مستوى تصحيح الأجهزة: تحديد جميع أجهزة أندرويد المستخدمة في بيئة العمل — سواء أجهزة الشركة أو BYOD — والتأكد من تشغيلها بمستوى تصحيح أمني ≥ 2021-05-01. الأجهزة الأقدم يجب عزلها فوراً عن الشبكة الداخلية وأنظمة MDM.
2. تفعيل التحقق من سلامة الجهاز (Device Integrity Check): تهيئة حلول MDM مثل Microsoft Intune أو VMware Workspace ONE لرفض أي جهاز يُبلّغ عن حالة Root أو Bootloader مفتوح أو SELinux معطّل، والتحقق من عدم وجود مكتبات نظام مُعدَّلة.
3. مراجعة سياسات WhatsApp والمراسلة الفورية: حظر استخدام واتساب وغيره من تطبيقات المراسلة الشخصية لأغراض العمل على الأجهزة غير الخاضعة لسياسة MDM، والانتقال إلى قنوات مُدارة ومُشفَّرة مثل Microsoft Teams أو حلول Enterprise Messaging المعتمدة من SAMA.
4. تفعيل حلول Mobile Threat Defense (MTD): نشر أدوات كـ Lookout أو Zimperium أو CrowdStrike Falcon for Mobile التي تكتشف علامات الاختراق على مستوى النواة، وتُنبّه فريق SOC فور تغيير مكتبات النظام.
5. التحقيق في الأجهزة المشبوهة: إجراء تحليل جنائي رقمي (Forensic Analysis) لأي جهاز يُبدي سلوكاً شاذاً، مع الأخذ بالاعتبار أن أدوات الفحص الاعتيادية لن تكتشف NoVoice — يتطلب الأمر تحليل قسم النظام ومقارنة المكتبات بنسخ أصلية من Google.
6. تحديث سياسة BYOD وتوعية الموظفين: توضيح سياسة واضحة تُحدّد الحد الأدنى لمتطلبات تصحيح الجهاز وآليات التحقق الدوري، مع رفع جلسات توعوية تُركّز على مخاطر تطبيقات المتاجر الرسمية الخفية.

الخلاصة

يُعيد NoVoice تعريف مفهوم "التطبيق الآمن من Google Play": لم يعد الوجود في المتجر الرسمي ضماناً كافياً للأمان، خاصةً حين تستهدف البرامج الخبيثة ثغرات نواة النظام بدلاً من صلاحيات التطبيق. للمؤسسات المالية السعودية الخاضعة لرقابة SAMA، يمثّل هذا التهديد اختباراً حقيقياً لمدى نضج برنامج أمن الأجهزة المحمولة وسياسات BYOD المعمول بها. الاستجابة المبكرة اليوم تُجنّب مخاطر امتثالية ومالية مضاعفة غداً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة سياسات أمن الأجهزة المحمولة وإطار MDM المعمول به.