كشفت شركة الأمن السيبراني “Check Point” عن حملة واسعة النطاق تستهدف مستخدمي هواتف أندرويد في الفلبين وباكستان وماليزيا. الحملة، التي أُطلق عليها اسم GhostAd، اعتمدت على مجموعة من التطبيقات التي بدت للوهلة الأولى أدوات بسيطة مثل برامج تنظيف الهاتف أو محررات الرموز التعبيرية، من بينها “Vivid Clean” و”GenMoji Studio”. لكن خلف هذه الواجهات البريئة، كانت التطبيقات تخفي محركاً إعلانياً يعمل باستمرار في الخلفية، حتى بعد إغلاق الجهاز أو إعادة تشغيله، مما أدى إلى استنزاف البطارية واستهلاك بيانات الهاتف بشكل غير ملحوظ.
آلية العمل الخبيثة
اعتمدت التطبيقات على دمج عدة مجموعات تطوير برمجيات إعلانية (SDKs) مشروعة مثل “Pangle”، “Vungle”، “MBridge”، “AppLovin”، و”BIGO”، لكنها استخدمتها بطريقة تنتهك سياسات الاستخدام العادل. بدلاً من انتظار تفاعل المستخدم، كانت التطبيقات تقوم بتحميل الإعلانات بشكل متواصل، وتخزينها في قوائم انتظار، ثم تحديثها بشكل دوري باستخدام تقنيات Kotlin coroutines للحفاظ على دورة تشغيل مستمرة. هذا الأسلوب جعل الأجهزة تعمل وكأنها منصات إعلانية غير مرئية، ما أدى إلى تعطيل الاستخدام الطبيعي للهواتف.
حجم الانتشار والتأثير
رغم أن شركة “Google” قامت لاحقاً بإزالة هذه التطبيقات من متجر “Google Play”، إلا أنها كانت قد حققت ملايين التنزيلات قبل اكتشافها. هذا الانتشار الواسع يعكس خطورة الحملة، إذ تمكنت من الوصول إلى شريحة كبيرة من المستخدمين في مناطق متعددة من آسيا، ما يبرز الحاجة إلى تعزيز الوعي الأمني لدى المستخدمين وتوخي الحذر عند تحميل التطبيقات حتى وإن بدت ذات وظائف بسيطة أو شائعة.
دلالات أمنية
تكشف هذه الحملة عن تطور أساليب البرمجيات الإعلانية الخبيثة، حيث لم يعد الهدف مجرد عرض الإعلانات، بل استغلال موارد الأجهزة بشكل مستمر لتحقيق أرباح غير مشروعة. كما تؤكد على أهمية الدور الذي تلعبه شركات الأمن السيبراني في كشف مثل هذه الحملات، وأهمية التدقيق المستمر من جانب متاجر التطبيقات لضمان عدم تسلل برمجيات ضارة إلى المستخدمين.
