لأكثر من أربع سنوات، عمل برنامج خبيث يُدعى “Popa” في صمت مطبق داخل ملايين أجهزة بث التلفزيون الرقمي العاملة بنظام أندرويد، يحوّلها إلى بوابات مخفية لتمرير حركة الإنترنت في عمليات احتيال إعلانية واستخراج بيانات على نطاق واسع. وفي تطور لافت، خلص باحثون من شركات أمن متعددة إلى أن هذه الشبكة تربطها خيوط واضحة بشركة NetNut الإسرائيلية، التابعة لمجموعة Alarum Technologies المدرجة في بورصة ناسداك تحت الرمز ALAR.
ما هي شبكة “بوبا” وكيف تعمل؟
تختلف شبكة Popa عن الشبكات الخبيثة التقليدية التي تُوظَّف في هجمات تعطيل الخدمات الموزعة؛ إذ تبدو مصممة لغرض وحيد هو تنفيذ طبقة اتصالات مستمرة تُتيح تسجيل الأجهزة والحفاظ على اتصالات مشفرة مطوّلة وفتح أنفاق اتصال عند الطلب.
وتُصنَّف Popa بوصفها حزمة تطوير برمجية للوكالة الوكيلة، أي مكونة يمكن تضمينها داخل تطبيقات عادية لتحويل أي جهاز يشغّلها إلى عقدة تمرير لحركة إنترنت الأطراف الثالثة. وبحسب الأرقام التي رصدها الباحثون، تضم الشبكة ما بين 1.5 و2.5 مليون عنوان IP نشط يومياً، فيما تُقدِّر Nokia Deepfield إجمالي الأجهزة المصابة بما يتراوح بين 9 و26 مليون جهاز.
تقنياً، يمكّن هذا البرنامج الأطراف الخارجية من توجيه حركة الإنترنت عبر عناوين IP المنزلية، مما يُتيح اختراق جدران الحماية المنزلية فعلياً واستخدام هذه الفضاءات لأغراض متعددة. والأخطر أن أصحاب الأجهزة لا يرون أي مؤشر يدل على أن أجهزتهم تُستخدم بهذه الطريقة، إذ يعمل البرنامج بصمت كامل داخل تطبيقات تبدو مشروعة ظاهرياً.
ويمتد نطاق التوزيع إلى ما هو أبعد من أجهزة التلفزيون؛ فقد وجد الباحثون الكود في عدد من تطبيقات البث المقرصنة وفي عميل التورنت MediaGet وخدمة VPN تُدعى RoboVPN، فضلاً عن تطبيق SmartTube الشهير لمشاهدة يوتيوب على أجهزة Android TV، وقد ظل البرنامج يعمل دون اكتشاف لمدة لا تقل عن خمسة أشهر.
الخيط الذي قاد إلى Alarum Technologies
بدأت خيوط القضية تتكشف حين شنّ هجوم تجريف واسع في مايو 2026 استهدف موقع منظمة “صحفيون عرب من أجل الصحافة الاستقصائية” (ARIJ) التي تستضيفها مؤسسة Qurium، إذ استقبل الموقع طلبات من نحو 1.35 مليون عنوان IP فريد موزع على أكثر من 7300 نظام مستقل و223 رمز دولة، وقد طابق هذا النمط نموذج الوكالة الوكيلة الذي تعمل به شركة NetNut.
والخيط الرئيسي في التحقيق يمتد إلى موشي كريمر، مؤسس شركة Ninjatech، الذي يشغل منصب نائب رئيس قسم البحث والتطوير في NetNut، وتُشير سيرته الذاتية إلى أنه ساعد في بناء NetNut من الصفر وتصميم بنيتها وتوسيع نطاقها قبل أن تستحوذ عليها Alarum Technologies.
وعلى صعيد الإثبات التقني، خلص فريق Synthient بثقة عالية إلى أن الأجهزة التي تشغّل Popa تُمرِّر حركة الإنترنت الصادرة عن عملاء NetNut، مؤكداً أن ذلك يُثبت بما لا يدع مجالاً للشك أن Popa لا تزال تُستخدم فعلياً من قِبَل NetNut ضمن شبكتها الوكيلة.
وقد رصد الباحثون أيضاً أن أكثر من 42 بالمئة من التطبيقات المتاحة في متاجر تطبيقات تلفزيونات LG الذكية تحتوي على حزم تطوير للوكالة الوكيلة، وتتضمن هذه الحزم في الغالب تطبيقات مرافق أو ألعاب أو بث مباشر.
بين الإنكار والاقتصاد الرقمي الجديد
ردّت Alarum Technologies بنفي قاطع لهذه الاتهامات، مؤكدةً أن التقارير تضمنت ادعاءات يمكن دحضها واستنتاجات معيبة لا وقائع موثقة، وأن حزم التطوير المعنية مصممة لتسهيل مشاركة النطاق الترددي ولا تحوّل أجهزة المستخدمين إلى أنظمة تتحكم فيها برمجيات خبيثة.
غير أن هذا الإنكار يصطدم بسياق صناعي أشمل؛ إذ يُعيد كثير من كبار مزودي الوكالات الوكيلة صياغة علامتهم التجارية لإبراز دورهم في تدريب منصات الذكاء الاصطناعي، باعتباره استخداماً أساسياً لشبكاتهم، لأن خدمات الذكاء الاصطناعي تعتمد اعتماداً كبيراً على كشط الإنترنت بصورة مستمرة للحصول على نصوص وصور ومقاطع فيديو تُستخدم في تدريب النماذج اللغوية الكبيرة.
وتضع هذه القضية الصناعة أمام سؤال أخلاقي جوهري: أين الحد الفاصل بين تطبيق مشروع لمشاركة النطاق الترددي وبرنامج تجسس مقنّع؟ لا سيما حين يُجرَّد شرط الموافقة الصريحة من الكود الذي يصل إلى المستخدم النهائي. فالاسم الأصلي جاء من شركة Ninjatech التي باعت حزمة Popa قبل نحو خمس سنوات بسياسة معلنة تستلزم موافقة المستخدم قبل استهلاك أي نطاق ترددي، ثم بِيع الكود وأُعيد ترخيصه ونشره على نطاق واسع مع حذف شرط الموافقة كلياً.
ولا تبدو هذه الظاهرة حكراً على شبكة Popa؛ فقد كشف تقرير صادر حديثاً عن شركة Include Security أن حزمة تطوير تضمّنها Bright Data داخل تطبيقات مخصصة للمستهلكين يمكنها تحويل الأجهزة، بما فيها التلفزيونات الذكية التي تعمل على مدار الساعة، إلى بوابات تُمرِّر حركة كشط الويب. ويُشير ذلك إلى نمط صناعي متكرر يجعل الأجهزة المنزلية العادية أدوات في سلسلة قيمة رقمية لا يعلم بها أصحابها.






























