عملية Trapdoor: 455 تطبيق أندرويد خبيث يحوّل هاتفك إلى آلة احتيال إعلاني

كشف فريق Satori التابع لشركة HUMAN Security عن عملية احتيال إعلاني وبرمجيات خبيثة واسعة النطاق أُطلق عليها اسم Trapdoor، شملت 455 تطبيقاً خبيثاً على متجر Google Play و183 نطاقاً للتحكم والسيطرة (C2)، وكانت تُولّد ما يقارب 659 مليون طلب مزايدة إعلانية مزيفة يومياً. هذا الاكتشاف يُعيد تسليط الضوء على خطورة التطبيقات المحمولة كناقل تهديد رئيسي يمسّ كل مؤسسة تعتمد سياسات BYOD أو تُصدر أجهزة عمل لموظفيها.

كيف تعمل عملية Trapdoor من الداخل

تبدأ سلسلة الهجوم حين يُحمّل المستخدم تطبيقاً يبدو بريئاً من متجر Google Play — عادةً أداة مساعدة كقارئ PDF أو منظّف للجهاز. بمجرد التثبيت، يبدأ التطبيق بإطلاق حملات إعلانية مضللة (malvertising) تدفع المستخدم لتحميل تطبيقات إضافية يملكها نفس المهاجمين. هذه التطبيقات الثانوية تفتح نوافذ WebView مخفية في الخلفية، تُحمّل نطاقات HTML5 يتحكم بها المهاجم، وتبدأ بطلب إعلانات مزيفة بشكل متواصل دون أي مؤشر مرئي للمستخدم.

ما يجعل Trapdoor خطيرة تقنياً هو استخدامها لآلية محاكاة اللمس البشري عبر دالة dispatchTouchEvent في أندرويد. يقوم التطبيق بفك تشفير أصول مخفية تحتوي على ملفات إحداثيات اللمس (move.txt وclick.txt)، ثم يُحوّلها إلى كائنات TouchConfig وTouchData لمحاكاة تفاعلات بشرية واقعية مع الإعلانات. النتيجة: 659 مليون طلب مزايدة إعلانية مزيفة يومياً تُدرّ أرباحاً تُموّل مزيداً من الحملات الخبيثة.

تقنيات التخفي التي تجاوزت فحوصات Google Play

استخدم مشغّلو Trapdoor عدة طبقات من التمويه جعلت اكتشافها صعباً حتى على المحللين المتمرسين. أولاً، انتحلت التطبيقات هوية حزم SDK إعلانية شرعية معروفة لتندمج مع سلوك التطبيقات النظيفة. ثانياً، استخدمت تقنيات native packing وcode virtualization وهياكل أصناف مزيفة (fake class structures) لتعقيد الهندسة العكسية.

الأخطر من ذلك هو استغلالها لأدوات إسناد التسويق (marketing attribution tools). السلوك الخبيث لا يُفعّل إلا عندما يصل المستخدم عبر حملة إعلانية مدفوعة يديرها المهاجم، أما من يُحمّل التطبيق عضوياً من المتجر فلا يرى شيئاً مريباً. هذا يعني أن المحلل الأمني الذي يسحب التطبيق مباشرة من Google Play لفحصه لن يكتشف أي سلوك ضار — وهي تقنية تخفٍّ ذكية تتجاوز الفحص الساكن والديناميكي التقليدي.

كذلك تتضمن طلبات C2 فحوصات مضادة للتحليل تشمل كشف أجهزة root والمُنقّحات (debuggers) واستخدام VPN، مما يمنع تفعيل الحمولة الخبيثة في بيئات الاختبار والتحليل الأمني.

التأثير على المؤسسات المالية السعودية وسياسات BYOD

قد يتساءل البعض: ما علاقة الاحتيال الإعلاني بالقطاع المالي؟ الإجابة تكمن في أن التطبيقات التي تملك صلاحية فتح WebViews مخفية والتواصل مع خوادم C2 وتنفيذ أكواد عن بُعد تُشكّل ناقل تهديد مباشر. اليوم تسرق نقرات إعلانية، وغداً قد تسرق بيانات اعتماد مصرفية أو رموز OTP أو تُثبّت حمولات تجسسية.

إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق ضوابط صارمة على الأجهزة المحمولة ضمن نطاق إدارة الأصول (Asset Management) وأمن نقاط النهاية (Endpoint Security). كما أن ضوابط NCA ECC تتطلب جرد الأصول وتصنيفها بما يشمل الأجهزة المحمولة الشخصية المستخدمة للعمل. تطبيق خبيث واحد على هاتف موظف متصل بشبكة المؤسسة أو بريدها الإلكتروني يكفي لخلق ثغرة في محيط الدفاع بأكمله.

نظام حماية البيانات الشخصية PDPL يزيد المخاطر القانونية، فالتطبيقات التي تجمع بيانات الجهاز وتُرسلها لخوادم خارجية قد تُعرّض المؤسسة لانتهاك متطلبات نقل البيانات عبر الحدود دون علمها.

التوصيات والخطوات العملية

1. تطبيق حل MDM/EMM شامل: استخدم منصة إدارة أجهزة محمولة مثل Microsoft Intune أو VMware Workspace ONE لفرض قوائم بيضاء للتطبيقات المسموح بها على أجهزة العمل، ومنع تثبيت التطبيقات من مصادر غير موثوقة.
2. تفعيل Mobile Threat Defense (MTD): أضف طبقة حماية متقدمة للأجهزة المحمولة قادرة على اكتشاف السلوكيات الشاذة كفتح WebViews مخفية والتواصل مع نطاقات C2 مشبوهة، وليس فقط التوقيعات المعروفة.
3. مراجعة سياسة BYOD: حدّث سياسة استخدام الأجهزة الشخصية لتشمل حظر فئات التطبيقات عالية المخاطر (أدوات التنظيف، تطبيقات VPN المجانية، قارئات PDF غير المعروفة) التي تُستخدم غالباً كأغطية للبرمجيات الخبيثة.
4. فحص دوري للتطبيقات المثبتة: نفّذ فحوصات أسبوعية عبر MDM لاكتشاف التطبيقات المُثبتة حديثاً على أجهزة الموظفين ومطابقتها مع قواعد بيانات التهديدات المحدّثة.
5. تدريب الموظفين على أمن المحمول: كثير من الموظفين لا يدركون أن تطبيقاً على متجر Google Play قد يكون خبيثاً. برامج التوعية يجب أن تتجاوز التصيد البريدي لتشمل سيناريوهات التطبيقات المحمولة الخبيثة.
6. دمج سجلات الأجهزة المحمولة مع SIEM: تأكد من أن تنبيهات MDM وMTD تُغذّي مركز العمليات الأمنية (SOC) لربط الأحداث المشبوهة على الأجهزة المحمولة مع النشاط على الشبكة المؤسسية.

الخلاصة

عملية Trapdoor ليست مجرد مخطط احتيال إعلاني — إنها تكشف مدى تطور البنية التحتية للمهاجمين في استغلال الأجهزة المحمولة كنقطة دخول. 455 تطبيقاً على المتجر الرسمي، 24 مليون عملية تحميل، وتقنيات تخفٍّ تتجاوز الفحوصات التقليدية — كل ذلك يؤكد أن أمن المحمول لم يعد ملفاً ثانوياً بل ركيزة أساسية في استراتيجية الأمن السيبراني لأي مؤسسة مالية.

هل سياسات أمن الأجهزة المحمولة في مؤسستك تواكب هذه التهديدات؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC يشمل مراجعة شاملة لضوابط أمن نقاط النهاية والأجهزة المحمولة.