رصدت شركة Cleafy الإيطالية المتخصصة في الأمن السيبراني عائلتين جديدتين من البرمجيات الخبيثة تستهدفان أجهزة أندرويد من خلال تقنية الاتصال قريب المدى NFC، وهما DevilNFC وNFCMultiPay، في تحول لافت يُنذر بموجة جديدة من الاحتيال المصرفي الإلكتروني تمتد من أوروبا إلى أمريكا اللاتينية. ما يُميز هذه الحملة عن سابقاتها أن المجرمين لم يعودوا يشترون أدواتهم من المنصات الصينية التي هيمنت على هذا النوع من الجرائم، بل باتوا يطورون أسلحتهم الرقمية بأنفسهم، وربما بمساعدة الذكاء الاصطناعي التوليدي.
هجوم الترحيل عبر NFC: كيف تُسرق بيانات بطاقتك دون أن تُدرك ذلك
لفهم خطورة هذه التهديدات، لا بد من استيعاب آلية هجمات ترحيل NFC. تعتمد هذه الهجمات على اعتراض الإشارة اللاسلكية الصادرة من بطاقة الدفع لحظة وضعها قرب هاتف الضحية المخترق، ثم بث هذه الإشارة فورياً إلى جهاز المهاجم عبر الإنترنت، مما يتيح له إتمام معاملة مالية في مكان آخر كأن بطاقته الأصلية بين يديه.
طوال عام 2025، رصدت شركات الأمن السيبراني تصاعداً حاداً في حملات ترحيل NFC الموجهة نحو عملاء البنوك الأوروبية، وكانت تلك الحملات رغم تباين أساليبها وجغرافيا ضحاياها تشترك في قاسم واحد: مطورون صينيو اللسان يسيطرون على طبقة الأدوات والبنية التحتية. غير أن المشهد تغير بشكل جذري مع رصد DevilNFC وNFCMultiPay.
تشير تقارير Cleafy إلى أن العائلتين، رغم عدم تقاسمهما أي كود برمجي أو بنية تحتية مشتركة، تنشطان في شن هجمات ترحيل NFC ضد عملاء البنوك بشكل متزامن، وأن ظهورهما المتزامن في جغرافيا متداخلة يمثل نقطة تحول مهمة في مشهد تهديدات NFC.
وتُؤكد Cleafy أن هاتين الأداتين تُطوَّران وتُشغَّلان خارج منظومة الجريمة الإلكترونية كخدمة الناطقة بالصينية، إذ تحمل DevilNFC بصمات حصرية ناطقة بالإسبانية، فيما يشير مؤشر المطور في NFCMultiPay إلى ناطق بالبرتغالية البرازيلية. وهو ما يعني، بحسب الباحثين، أن المجموعات المحلية لم تعد تشتري الوصول إلى المنصات الصينية بل باتت تبني منصاتها الخاصة.
DevilNFC: هندسة معقدة تحاصر الضحية في فخ رقمي
يمثل DevilNFC مرحلة أكثر تطوراً في مشهد التهديدات، إذ طوّره مطورون يتحدثون الإسبانية، ويستند إلى إطار NFCGate مفتوح المصدر، غير أنه يتضمن كوداً برمجياً أصيلاً تماماً مبنياً فوقه.
يعمل DevilNFC وفق هندسة غير متماثلة: على هاتف الضحية يتصرف كقارئ NFC سلبي بسيط يصعب اكتشافه، بينما على هاتف المهاجم الذي يمتلك صلاحيات الجذر يتحول إلى محاكٍ حي لبطاقة الدفع، وهو ما يتحقق عبر إطار اختراق يعترض اتصالات NFC على مستوى النظام متجاوزاً واجهات برمجة تطبيقات أندرويد المعتادة.
والأشد خطورة في DevilNFC هو أسلوبه في حبس الضحية. بمجرد تشغيل التطبيق، يُفعِّل البرنامج وضع Kiosk Mode لإخفاء واجهة النظام وتعطيل زر الرجوع الخلفي، مما يحبس الضحية داخل الواجهة الاحتيالية طوال مدة إتمام الترحيل في صمت تام. ثم تظهر نافذة تحقق مزيفة تُعرض من خادم التحكم والسيطرة تطلب من الضحية إدخال رقم PIN المكون من أربعة أرقام بعد أول لمسة للبطاقة.
بعد ذلك، تُعرض رسالة خطأ مزيفة تطلب من الضحية إمساك بطاقتها لفترة أطول، مما يمدد نافذة الترحيل ويضمن إتمام المعاملة.
في المقابل، تتبنى NFCMultiPay نهجاً أبسط، إذ تُنفذ الترحيل الكامل بكود Java خالص دون الحاجة إلى صلاحيات الجذر أو مكتبات كود أصيلة. وتعتمد على وسيط سحابي لتمرير بيانات البطاقة في الوقت الفعلي.
الذكاء الاصطناعي يخفض حاجز تطوير البرمجيات الخبيثة
تشير قوالب التصيد المُبالَغ في تفصيلها الهندسي في DevilNFC، والسجلات المنسقة بالرموز التعبيرية في NFCMultiPay بأسلوب نموذجي لنماذج اللغة الكبيرة، إلى أن المشغّلين يستخدمون نماذج ذكاء اصطناعي غير خاضعة للرقابة إلى جانب قواعد كود مسرّب من مستودعات عامة، مما يخفض بشكل ملحوظ الحاجز أمام بناء برمجيات خبيثة أندرويد وظيفية.
ويؤكد هذا الاتجاه بشكل مستقل تحقيق ESET الذي رصد في أبريل 2026 متغيراً جديداً من NGate يستهدف المستخدمين البرازيليين، حيث يحمل الكود الخبيث المُحقَن نفس المؤشرات الدالة على التطوير بمساعدة الذكاء الاصطناعي، إلى جانب نصوص بالبرتغالية البرازيلية.
وكشفت ESET أن هذا المتغير من NGate يختبئ داخل نسخة مُلغّمة من تطبيق HandyPay الشرعي المتاح على Google Play منذ عام 2021، في حملة نشطة منذ نوفمبر 2025 تستهدف مستخدمي أندرويد في البرازيل. وتُشير التقارير إلى أن الدافع وراء اختيار تطبيق شرعي وتلغيمه بدلاً من شراء خدمة جاهزة هو التكلفة، إذ تصل رسوم الاشتراك في منصات MaaS المتخصصة في ترحيل NFC إلى نحو 400 دولار شهرياً لبعض المنصات، وحتى 500 دولار لأخرى.
يأتي ذلك في سياق يشهد تطوراً متسارعاً لمنظومة الجريمة الإلكترونية المرتبطة بـ NFC. فقبل نحو عام، رصدت Cleafy منصة SuperCard X الصينية للجريمة الإلكترونية كخدمة، التي تعتمد تقنية ترحيل NFC لخطف معاملات نقاط البيع وأجهزة الصراف الآلي، وتشترك في كودها البرمجي مع برنامج NGate الذي اكتشفته ESET عام 2024.
أما ناقل التوزيع في حملات DevilNFC وNFCMultiPay، فيعتمد على رسائل SMS أو WhatsApp توجه الضحايا نحو صفحات هبوط مزيفة تنتحل واجهة متجر Google Play، في حيلة تضمن وصول التطبيق الخبيث إلى هواتف المستهدفين دون إثارة أي شك.
