كشفت تقارير أمنية جديدة عن حملة تجسس تستهدف مستخدمي أجهزة أندرويد، وتحديداً في باكستان، عبر تطبيق خبيث يُدعى GhostChat. يستخدم هذا التطبيق أساليب متطورة تتضمن برامج التجسس (spyware) والاحتيال الرومانسي لسرقة معلومات حساسة من المستخدمين، مما يمثل تهديداً متزايداً لأمن البيانات الشخصية.
ينتحل تطبيق GhostChat هوية تطبيق دردشة شرعي، لكنه في الواقع يعمل في الخلفية لجمع بيانات المستخدمين وإرسالها إلى خوادم خارجية. ويعكس هذا الهجوم اتجاهاً متزايداً للمجرمين السيبرانيين الذين يدمجون الهندسة الاجتماعية مع قدرات برامج التجسس المتقدمة لشن هجماتهم.
حملة GhostChat: احتيال رومانسي وبرامج تجسس
تم اكتشاف حملة برامج التجسس الخبيثة بعد رصد تطبيق أندرويد مشبوه على منصة VirusTotal، تم تحميله من باكستان في سبتمبر 2025. يتظاهر GhostChat بأنه تطبيق مواعدة باسم “تطبيقات مواعدة بدون دفع”، مستخدماً أيقونة تطبيق شرعي متوفر على متجر Google Play.
ومع ذلك، لم يتم توزيع النسخة الخبيثة أبداً عبر المتاجر الرسمية، بل يتطلب من الضحايا تثبيته يدوياً عبر تمكين الأذونات للتطبيقات من مصادر غير معروفة. هذا الأسلوب في التوزيع يساعد الجهات المهددة على تجنب اكتشافها من قبل Google Play Protect في مرحلة التثبيت الأولية.
آلية التضليل وخداع المستخدم
لاحظ محللو الأمن أن GhostChat يستخدم طبقة فريدة من التضليل تميزه عن التهديدات المعتادة للجوال. يعرض التطبيق 14 ملفاً شخصياً نسائياً مزيفاً، كل منها معنون بـ “مقفل” ويتطلب رموز مرور للوصول. هذه الرموز مضمنة في التطبيق ويتم توزيعها معه لخلق وهم الوصول الحصري للمستخدمين المحتملين.
بمجرد أن يدخل الضحية رمز الفتح الصحيح، يتم توجيهه إلى تطبيق WhatsApp لبدء محادثات مع أرقام يديرها المهاجمون، وجميعها تحمل أكواد دولية لباكستان لزيادة مصداقية عملية الاحتيال.
في الوقت الذي ينشغل فيه الضحايا بالتفاعل مع ما يعتقدون أنها ملفات تعريف مواعدة حقيقية، تعمل برامج التجسس بصمت في الخلفية، وتقوم باستخراج بيانات الجهاز وإرسالها إلى خادم القيادة والتحكم. يجمع برمجيات التجسس على الفور معرفات الجهاز، وقوائم جهات الاتصال، والملفات المخزنة على الجهاز بما في ذلك الصور وملفات PDF ومستندات Microsoft Office.
أساليب التثبيت والمحافظة على الاستمرارية
يُظهر GhostChat آليات تثبيت واستمرارية متطورة مصممة للحفاظ على الوصول طويل الأمد إلى الأجهزة المخترقة. فور التثبيت، يطلب التطبيق أذونات متعددة تبدو قياسية لتطبيق دردشة، ولكنها تمكّن في الواقع قدرات مراقبة واسعة النطاق.
تستفيد برامج التجسس من بث BOOT_COMPLETED الخاص بنظام أندرويد، مما يسمح له بالتفعيل تلقائياً كلما أعيد تشغيل الجهاز، مما يضمن التشغيل المستمر حتى بعد إعادة التشغيل.
تستخدم البرمجيات الخبيثة تقنيات الاستمرارية الأمامية (foreground persistence) لإبقاء خدمة المراقبة قيد التشغيل باستمرار دون علم المستخدم. تمنع هذه الطريقة ميزات تحسين البطارية في أندرويد من إنهاء عملية برامج التجسس، مما يحافظ على الوصول غير المنقطع إلى موارد الجهاز.
يتواصل التطبيق مع بنية القيادة والتحكم الخاصة به باستخدام طلبات HTTPS، مما يجعل الكشف عنه أكثر صعوبة حيث تبدو حركة المرور مشابهة للاتصالات المشفرة الشرعية. يدعم هيكل GhostChat استخراج البيانات الفوري عند التنفيذ الأول والمراقبة المستمرة طوال دورة حياة الإصابة، مما يخلق إطار مراقبة شاملاً يعمل بشكل مستقل عن تفاعل المستخدم مع واجهة المواعدة المزيفة.