كشف باحثو الأمن السيبراني عن حملة احتيالية واسعة استهدفت مستخدمي Android عبر متجر Google Play الرسمي، حيث تم نشر 28 تطبيقًا مزيفًا تدّعي أنها توفر إمكانية الوصول إلى سجلات المكالمات لأي رقم هاتف، لكنها في الواقع خدعت المستخدمين للاشتراك في خدمات مدفوعة مقابل بيانات وهمية، ما أدى إلى خسائر مالية مباشرة.
تفاصيل الحملة وأسماء التطبيقات
أُطلق على النشاط اسم CallPhantom من قبل شركة ESET السلوفاكية، واستهدف بشكل رئيسي مستخدمي الهواتف في الهند ومنطقة آسيا والمحيط الهادئ. أحد التطبيقات وحده تجاوز 3 ملايين تنزيل، بينما بلغ مجموع التنزيلات أكثر من 7.3 مليون قبل إزالة التطبيقات من المتجر.
التطبيقات كانت تعرض واجهة بسيطة دون طلب أذونات حساسة، لكنها تطلب من المستخدمين دفع رسوم مقابل “كشف سجل المكالمات أو الرسائل أو مكالمات واتساب”، ليحصلوا في النهاية على بيانات عشوائية مدمجة في الشيفرة المصدرية.
أساليب الدفع والخداع
اعتمدت التطبيقات على عدة طرق للدفع:
- الاشتراكات عبر نظام الفوترة الرسمي لمتجر بلاي.
- تطبيقات طرف ثالث تدعم UPI مثل Google Pay، PhonePe، Paytm.
- نماذج دفع مباشرة عبر بطاقات الائتمان داخل التطبيق، وهو ما يخالف سياسات جوجل.
في بعض الحالات، إذا حاول المستخدم الخروج من التطبيق دون دفع، يظهر إشعار مزيف يدّعي أن سجل المكالمات قد أُرسل إلى بريده الإلكتروني، وعند النقر عليه يتم تحويله مباشرة إلى شاشة الاشتراك.
خطورة النشاط وعلاقته بحملات أخرى
الاشتراكات تراوحت بين 6 و80 دولارًا، ومع إزالة التطبيقات من المتجر يُفترض أن الاشتراكات قد أُلغيت، لكن المستخدمين الذين دفعوا عبر طرق خارجية لا يمكنهم استرداد أموالهم من جوجل.
اللافت أن أحد التطبيقات نُشر تحت اسم مطوّر “Indian gov.in” لإضفاء مصداقية زائفة. وتشير الأدلة إلى أن النشاط بدأ منذ نوفمبر 2025.
في سياق متصل، أوضحت Group-IB أن جهات تهديد مالية تُعرف باسم GoldFactory سرقت ما يقارب 2 مليون دولار من مستخدمين في إندونيسيا عبر حملة احتيالية تضمنت انتحال منصات رسمية مثل CoreTax. هذه الحملة دمجت بين مواقع تصيّد، رسائل واتساب، تحميل ملفات APK خبيثة، وهجمات صوتية (vishing) لنشر برمجيات مثل Gigabud RAT، MMRat، Taotie القادرة على سرقة البيانات وتنفيذ تحويلات مالية غير مصرح بها.
دلالات أمنية على المستخدمين
ما يجعل هذه التطبيقات خطيرة هو بساطتها وعدم طلبها أذونات حساسة، ما جعلها تبدو آمنة للمستخدمين. لكنها في الحقيقة لم تكن تحتوي على أي وظيفة للوصول إلى سجلات المكالمات أو الرسائل، بل كانت مجرد واجهة احتيالية لجمع الأموال.
هذا يوضح أن المهاجمين باتوا يستغلون الثقة في متجر بلاي كوسيلة رئيسية لنشر تطبيقات خبيثة، وأن المستخدمين بحاجة إلى الحذر من التطبيقات التي تدّعي تقديم خدمات غير واقعية مثل كشف سجلات المكالمات لأي رقم.
