اكتشف باحثون في مجال الأمن السيبراني حملتين خبيثتين تستهدفان مستخدمي نظام أندرويد في الإمارات العربية المتحدة، حيث تتخفى برمجيات التجسس في تطبيقات مزيفة تحمل أسماء “Signal Encryption Plugin” و”ToTok Pro”. وأكدت شركة ESET السلوفاكية أن هذه التطبيقات المقلدة يتم توزيعها عبر مواقع وهمية وحيل الهندسة الاجتماعية، ما يتيح للمهاجمين التسلل إلى الأجهزة وسرقة البيانات الحساسة.
حملتا ProSpy وToSpy
تُعرف الحملتان باسم ProSpy وToSpy، حيث جرى رصد الأولى في يونيو 2025، لكن يُعتقد أنها نشطة منذ عام 2024. وتعتمد على مواقع مزيفة تنتحل هوية تطبيقات مثل Signal وToTok، وتعرض ملفات APK خبيثة تُقدَّم على أنها تحديثات رسمية. أما ToSpy فقد بدأت منذ يونيو 2022 وما زالت نشطة، مستهدفةً المستخدمين عبر مواقع تقلّد تطبيق ToTok.
آليات الخداع والتمويه
تتميز البرمجيات الخبيثة بقدرتها على إقناع المستخدم بسلامتها، إذ يعرض تطبيق ToTok Pro زر “متابعة” يعيد التوجيه إلى الموقع الرسمي للتحميل، ليترسخ الوهم لدى الضحية بسلامة التطبيق، بينما يستمر التجسس في الخلفية. وبالمثل، يُظهر تطبيق Signal المزيف زر “تفعيل” لتوجيه الضحية إلى الموقع الأصلي signal.org، لكنه يغيّر أيقونته لاحقًا ليشبه Google Play Services ويخفي وجوده.
البيانات المستهدفة وآليات البقاء
يستهدف التجسّس سرقة معلومات الجهاز، جهات الاتصال، الرسائل النصية، الملفات، والنسخ الاحتياطية للمحادثات. ولضمان الاستمرارية، يشغّل كلا التطبيقين خدمة في الواجهة مع إشعارات دائمة، ويستغلان أداة AlarmManager لإعادة تشغيل الخدمات إذا توقفت، إضافة إلى إعادة تفعيل البرمجيات عند إعادة تشغيل الهاتف.
مخاطر أمنية متصاعدة
ترى ESET أن خطورة الحملات تكمن في أنها تركّز على منطقة محددة وتستغل سمعة تطبيقات معروفة لحصد ثقة المستخدمين. وما تزال الجهة المسؤولة عن الهجمات مجهولة، غير أن المؤشرات تكشف عن بنية تحتية مختلفة لعمليات التوزيع، رغم التشابه الكبير في تقنيات البرمجيات المستخدمة. وحذرت الشركة المستخدمين من تثبيت التطبيقات من خارج المتاجر الرسمية أو تمكين التثبيت من مصادر غير موثوقة، خاصة تلك التي تدّعي تعزيز خدمات معروفة.
