NoVoice: الروتكيت الذي أصاب 2.3 مليون جهاز أندرويد عبر Google Play ويستهدف تطبيقات البنوك

في الأول من أبريل 2026، كشفت شركة McAfee عن حملة خبيثة بالغة الخطورة تُعرف بـ "Operation NoVoice": روتكيت أندرويد تسلل إلى أكثر من 50 تطبيقاً على متجر Google Play الرسمي، وأصاب ما لا يقل عن 2.3 مليون جهاز حول العالم. ما يميّز هذه الحملة ليس حجمها فحسب، بل قدرتها على اختراق التطبيقات شديدة الحساسية كـ WhatsApp — ومن ثَمّ أي تطبيق مصرفي مثبّت على الجهاز.

كيف تخترق NoVoice أجهزة الأندرويد؟

اعتمدت الحملة على ثغرات أندرويد معروفة ومُرقَّعة بين عامَي 2016 و2021، تشمل خللاً في نواة النظام (Use-After-Free Kernel Bugs) وثغرات في مشغّل Mali GPU. بعد تثبيت أحد التطبيقات الملوّثة — كالمنظّفات ومعارض الصور والألعاب — تنطلق البرمجية لتنفيذ 22 ثغرة استغلالية بهدف الحصول على صلاحيات الجذر (Root Access). والأخطر أن هذه التطبيقات لم تطلب أذونات مشبوهة وقدّمت وظائفها الحقيقية دون أي علامات تنبّه المستخدم.

بمجرد الحصول على الجذر، تُثبِّت البرمجية نفسها في قسم النظام (System Partition)، وهو الجزء الذي لا تمسّه عملية إعادة ضبط المصنع. ويتضمن آلية الثبات: استبدال معالج أعطال النظام بمُحمِّل الروتكيت، وتثبيت سكريبتات استعادة احتياطية، وتخزين نُسَخ الحمولة في أماكن متعددة من النظام.

لماذا يُشكّل تهديداً مباشراً للقطاع المالي؟

الحمولة المُستردَّة حتى الآن استهدفت بيانات WhatsApp تحديداً، لكن تصميم NoVoice المعياري (Modular Architecture) يعني قدرته على تحميل حمولات بديلة تستهدف أي تطبيق على الجهاز — بما فيها تطبيقات الخدمات المصرفية عبر الإنترنت ومحافظ الدفع الرقمي. تملك البرمجية صلاحية تثبيت تطبيقات وحذفها دون علم المستخدم، والتقاط الشاشة، وتسجيل النقرات، وإعادة تشغيل الجهاز للحفاظ على وجودها.

في السياق السعودي، تعتمد البنوك والمؤسسات المالية بشكل متزايد على التطبيقات المحمولة كقناة رئيسية للتعاملات. وبموجب إطار SAMA CSCC، يُلزَم مزودو الخدمات المالية بحماية قنوات التطبيقات وضمان سلامة الأجهزة التي تصل إلى الخدمات الحساسة. جهاز مصاب بـ NoVoice يُبطل كل ضمانات المصادقة متعددة العوامل (MFA) إذ يمكن للبرمجية اعتراض رموز OTP قبل وصولها إلى المستخدم.

التأثير على المؤسسات المالية السعودية

تنص المادة 3-4 من إطار SAMA CSCC على متطلبات صريحة لأمن الأجهزة المحمولة وإدارتها، وتشترط على المؤسسات المالية التحقق من سلامة الجهاز قبل السماح بالوصول. برمجية NoVoice تتحايل على هذه الضمانات عبر التجذّر الصامت الذي يصعب اكتشافه بالأدوات التقليدية. علاوة على ذلك، فإن سرقة بيانات الهوية المصرفية أو رسائل التحقق عبر WhatsApp — وهو قناة شائعة لدى عدد من المؤسسات السعودية — قد يُفضي إلى خسائر مالية مباشرة وانتهاك صريح لمتطلبات PDPL الخاصة بحماية بيانات العملاء.

تجدر الإشارة إلى أن الأجهزة التي تلقّت تحديثات الأمان منذ مايو 2021 محمية من الثغرات المُستغَلّة حالياً. غير أن المشكلة تكمن في الأجهزة القديمة المُستخدَمة لدى بعض الموظفين أو العملاء، خاصةً في البيئات التي تعتمد سياسة BYOD (إحضار جهازك الخاص).

التوصيات والخطوات العملية

1. تدقيق سياسات BYOD فوراً: راجعوا سياسات الأجهزة المحمولة في مؤسستكم وتأكدوا من إلزامية تحديثات الأمان لأي جهاز يصل إلى الأنظمة الداخلية أو تطبيقات الخدمات المصرفية.
2. نشر حلول MTD (Mobile Threat Defense): أدوات مثل Lookout أو Zimperium أو Microsoft Defender for Endpoint Mobile قادرة على رصد سلوك الروتكيت واكتشاف التجذّر حتى لو بقيت البرمجية مخفية من واجهة المستخدم.
3. تطبيق التحقق من سلامة الجهاز (Device Attestation): استخدموا واجهات Google Play Integrity API أو SafetyNet لرفض الاتصالات من الأجهزة المُجذَّرة أو المخترقة قبل منح أي وصول إلى التطبيقات المصرفية.
4. فصل قنوات التحقق عن WhatsApp: لا تعتمدوا على WhatsApp كقناة للرسائل الأمنية أو OTP، بل استخدموا قنوات SMS مشفّرة أو تطبيقات مصادقة مستقلة (TOTP).
5. تنبيه العملاء: أصدروا تنبيهاً للعملاء بحذف التطبيقات التي تثبّتوها قبل مايو 2021 أو على أجهزة لم تتلقَّ تحديثات منذ ذلك التاريخ، وتشجيعهم على التحقق من مزود جهازهم.
6. مراجعة سجلات SIEM: ابحثوا في سجلات الوصول عن جلسات مصرفية نُفِّذت من أجهزة بعلامات تجذّر غير مألوفة أو نشاط غير معتاد في أوقات خارج ساعات العمل.

الخلاصة

تُثبت حملة NoVoice أن متجر Google Play لم يعد ملاذاً آمناً بالمطلق، وأن التهديدات المحمولة تجاوزت مرحلة التصيد البسيط إلى روتكيتات متطورة تستهدف صميم البنية التحتية المصرفية الرقمية. المؤسسات المالية السعودية التي لا تمتلك استراتيجية واضحة لأمن الأجهزة المحمولة تحت مظلة SAMA CSCC و NCA ECC تجد نفسها أمام ثغرة بالغة لا تظهر في تقارير الامتثال التقليدية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد مستوى تعرّضك لتهديدات أمن الأجهزة المحمولة.