برمجية تجسّس جديدة "ClayRat" تستهدف أندرويد عبر تطبيقات وهمية لواتساب وتيك توك » مركز الأمن السيبراني للأبحاث والدراسات CCRS

ثغرة Pixnapping في أندرويد: تطبيقات خبيثة تسرق رموز 2FA بغير أذونات

كشفت شركة أمنيّة عن حملة تجسّس متسارعة تطال مستخدمي أندرويد في روسيا تحت اسم ClayRat، تعتمد على قنوات تيليغرام ومواقع تصيّد تحاكي تطبيقات شهيرة (WhatsApp, Google Photos, TikTok, YouTube) لإقناع الضحايا بتحميل ملفات APK خبيثة. تُروّج القنوات مزاعم شعبية مزوّرة (أرقام تنزيلات وشهادات مُلفّقة) لرفع ثقة المستخدم ودفعه لتثبيت الحزمة.

قدرات البرمجية وسلاسل العدوى

عند التفعيل، تملك ClayRat قدرات واسعة تشمل: سرقة رسائل SMS وسجلات المكالمات والإشعارات ومعلومات الجهاز، التقاط صور باستخدام الكاميرا الأمامية، وإرسال رسائل SMS أو إجراء مكالمات باسم الضحية. كما تُستغل الأجهزة المُخترَقة كقناة توزيع تلقائية عبر إرسال روابط خبيثة إلى جميع جهات اتصال الضحية. رصدت الشركة 600 عيّنة و50 مُثبّتًا (dropper) خلال 90 يومًا، مع طبقات إخفاء متزايدة لتفادي الكشف.

تقنيات تجاوز الحماية وطرائق التثبيت

تستخدم الحملة طرقًا متعدّدة لتجاوز قيود أندرويد الحديثة وميكانيكات الحماية: بعض المواقع تزعم تقديم “YouTube Plus” وتستضيف APK يمكنه الالتفاف على قيود sideloading في أندرويد 13+. تعتمد عيناتٌ من ClayRat أسلوب المثبّت الخفيف الذي يعرض شاشة تحديث مزيفة لمتجر Play بينما يحوي في أصول التطبيق الحمولة المُشفّرة التي تُنصّب جلسة تثبيت مرحلية، ما يخفض إدراك الخطر لدى المستخدم ويزيد احتمالات النجاح.

متطلبات الصلاحيات وسُبل الاستخبارات المستهدفة

تطلب البرمجية أن تُعينها تطبيق الرسائل الافتراضي (default SMS app) لتمكين سرقة الرسائل والإرسال باسم الضحية، كما تواصل مع بنية C2 عبر HTTP لطلب أوامر ومهام. ترسل قائمة التطبيقات المثبتة وتجمع معلومات الجهاز وتنفّذ أوامر أخذ صور ونقل بيانات؛ وبذلك تتحوّل الأجهزة المصابة إلى نقاط رصد وتوزيع عائدة للمهاجمين.

سياق أوسع: مخاطر التطبيقات المثبتة مسبقًا

تزامنًا مع الحملة، أظهرت دراسة من جامعتي لوكسمبورغ وCheikh Anta Diop أن الهواتف الاقتصادية المُباعة في أفريقيا تضم تطبيقات مثبتة مسبقًا تعمل بامتيازات مرتفعة؛ منها حزم ترسل معرفات الجهاز ومعلومات الموقع لطرف ثالث. فحص 1,544 APK كشف أن 9% تكشف بيانات حساسة، و16% تعرّض مكوّنات حاسمة دون حماية، و226 تنفّذ أوامر خطيرة، و79 تتعامل مع SMS، و33 تجري تثبيتًا صامتًا — ما يبيّن بيئة خطرة تتكامل فيها برمجيات المصنع مع تهديدات مثل ClayRat.

توصيات فورية للمستخدمين ومنصّات الحماية

امتنع عن تحميل تطبيقات من مواقع خارج متاجر رسمية مُعتمدة، وتحرّ وقت تثبيت أي APK من مصدر غير موثوق.
لا تمنح تطبيقًا صلاحية جعل نفسه تطبيق الرسائل الافتراضي إلا بعد التحقق التام من المصدر والوظيفة.
فعّل إعدادات منع التثبيت الجانبي (sideloading) ما أمكن، وفحص أذونات التطبيقات دورياً.
حسّن مراقبة قنوات تيليغرام والمواقع التي تُستخدم في حملات التصيّد، وعلّم المستخدمين الإداريين ضرورة التحقق من عدد التنزيلات والمراجعات الحقيقية.
طبّق اكتشاف السلوك اللافت على الأجهزة (Endpoint/mobile EDR) لرصد عمليات الإرسال الجماعي أو محاولات الوصول إلى جهات الاتصال ورفع تنبيهات عند سلوكيات توزيع تلقائية.
لدى المؤسسات: مراجعة سياسة التطبيقات المثبتة مسبقًا على الأجهزة المُزودة، وإجراء فحص أمني للحزم الموردة وإدارة قوائم الحظر للتطبيقات ذات المخاطر المعروفة.