كشفت شركة HUMAN لأمن المعلومات عن عملية احتيال إعلاني واسعة تُعرف باسم IconAds، شملت 352 تطبيقًا خبيثًا على أندرويد، كانت تُعرض إعلانات خارج السياق وتُخفي رموزها من شاشة الهاتف الرئيسية، ما يصعّب على المستخدمين حذفها. وقد أزالت غوغل هذه التطبيقات من متجر “بلاي ستور”، لكنها كانت تصدر 1.2 مليار طلب مزايدة إعلاني يوميًا في ذروة نشاطها، خاصة في البرازيل والمكسيك والولايات المتحدة.
تقوم هذه التطبيقات بإخفاء نشاطها عبر التعتيم البرمجي، وتنتحل أسماء وأيقونات خدمات شهيرة، بل وتغيّر نشاط الإقلاع الرئيسي في ملفات النظام لتظل خفية حتى بعد إعادة التشغيل. بعض النسخ كانت تنتحل صفة متجر “غوغل بلاي” نفسه، وتُعيد توجيه المستخدم إليه، بينما تنفّذ الأنشطة الخبيثة في الخلفية.
عملية احتيال جديدة: Kaleidoscope والنسخ الشريرة من التطبيقات
بالتوازي، كشفت IAS Threat Lab عن عملية احتيال أخرى باسم Kaleidoscope، تطورت عن حملة سابقة تُعرف باسم Konfety. يقوم المهاجمون بإنشاء نسختين متطابقتين تقريبًا من كل تطبيق: نسخة بريئة تُنشر على متجر غوغل بلاي، وأخرى خبيثة تُوزع عبر متاجر خارجية ومواقع وهمية. النسخة الخبيثة تُغرق الجهاز بإعلانات متطفلة وتُخدع المعلنين بدفع أموال مقابل مشاهدات مزيفة.
وتُظهر بيانات شركة ESET أن هذه الحملة أثرت بشكل خاص على المستخدمين في أمريكا اللاتينية وتركيا ومصر والهند، حيث تحظى المتاجر الخارجية بشعبية واسعة.
من الاحتيال الإعلاني إلى الاحتيال المالي: هجمات NFC
أجهزة أندرويد تعرضت أيضًا لهجمات مالية تستغل تقنية التواصل قريب المدى (NFC) عبر برمجيات خبيثة مثل NGate وSuperCard X. هذه البرمجيات تُمكّن المهاجمين من تحويل إشارات بطاقات الدفع عبر الهاتف المصاب إلى أجهزة يسيطرون عليها، ما يتيح لهم سحب الأموال من أجهزة الصراف عن بُعد.
كما ظهرت تقنية جديدة تُدعى Ghost Tap، يستخدم فيها المهاجمون بيانات البطاقات المسروقة لتسجيلها في محافظ رقمية مثل Google Pay أو Apple Pay، ثم تنفيذ دفعات احتيالية عبر NFC دون لفت الانتباه. هذه العمليات سُجلت في روسيا وإيطاليا وألمانيا وتشيلي.
برمجية SMS خبيثة تصيب 100 ألف جهاز في أوزبكستان
تزامن هذا مع اكتشاف برمجية خبيثة جديدة تُدعى Qwizzserial، استهدفت ما يقارب 100 ألف جهاز في أوزبكستان بين مارس ويونيو 2025، مسببة خسائر قُدرت بأكثر من 62 ألف دولار. تقوم البرمجية باعتراض رسائل المصادقة الثنائية (2FA) وسرقة معلومات البطاقات المصرفية، وترسلها إلى قنوات تيليغرام يديرها المهاجمون.
تتخفّى هذه البرمجية في صورة تطبيقات حكومية أو مصرفية مزيفة تُوزع على شكل ملفات APK عبر قنوات تيليغرام وهمية، وتطلب من المستخدمين منحها صلاحيات قراءة الرسائل والمكالمات.
الإصدارات الأحدث من Qwizzserial تطلب تعطيل تقييدات البطارية لتظل نشطة في الخلفية، وتُرسل البيانات المسروقة إلى خوادم خارجية عبر بروتوكول HTTP POST بدلاً من استخدام واجهة Telegram مباشرة.
برامج تجسس عبر دعوات زفاف وهمية وتطبيقات تيك توك مزيفة
في الهند، انتشرت حملة جديدة تستخدم دعوات زفاف مزيفة عبر واتساب وتيليغرام، تُرفق بملفات APK تحتوي على برمجيات تجسس مثل SpyMax RAT. أما في جنوب شرق آسيا والصين، فتم رصد برنامج تجسس يُدعى SparkKitty يستهدف أجهزة أندرويد وiOS على حد سواء.
تنتشر النسخ الخبيثة من تطبيقات مثل TikTok عبر مواقع مزيفة، ويتم تثبيتها على أجهزة iPhone باستخدام شهادات مطورين من Apple، لتجاوز متجر App Store. البرنامج يقوم بسرقة جميع الصور، وأحيانًا يستخدم تقنية التعرف البصري (OCR) لاستخلاص صور محددة مثل لقطات لعبارات استعادة محافظ العملات الرقمية.
