كشفت حملة تهديدية جديدة عن استغلال خبيث لميزة “اكتشف” (Discover) من جوجل، وهي أداة شائعة لعرض المحتوى على أجهزة أندرويد ومتصفح كروم، بهدف إرسال إشعارات دفع ضارة للمستخدمين في مناطق متعددة. تستخدم هذه العملية، التي أطلق عليها الباحثون اسم “Pushpaganda”، محتوى تم إنشاؤه بواسطة الذكاء الاصطناعي وهندسة اجتماعية متقدمة وسلوكيات متصفح خادعة لدفع المستخدمين للاشتراك في قنوات إشعارات ضارة.
تتضمن آلية عمل “Pushpaganda” حقن مقالات إخبارية وهمية مباشرة في خلاصات “اكتشف” المخصصة للمستخدمين، والتي تظهر على الشاشات الرئيسية لأجهزة أندرويد وصفحات التبويب الفارغة في متصفح كروم. قام الجهات الفاعلة ببناء شبكة من 113 نطاقًا تحت سيطرتهم، واستخدموا الذكاء الاصطناعي لإنتاج عناوين وصور مثيرة مصممة لجذب الانتباه بسرعة.
استغلال Google Discover عبر محتوى الذكاء الاصطناعي
ركزت هذه القصص غالبًا على موضوعات تثير ردود فعل قوية، مثل إعلانات عن ودائع حكومية مزيفة، أو إشعارات ضريبية مقلقة، أو عروض هواتف ذكية غير واقعية، مثل “موافقة على إيداع بقيمة 1390 دولار أمريكي من مصلحة الضرائب” أو “هواتف بـ 100 دولار مع كاميرات 300 ميجابكسل”. ظهر هذا المحتوى في خلاصات “اكتشف” إما من خلال مواضع مدفوعة أو تقنيات تحسين محركات البحث المتقدمة، مما جعل من الصعب تمييزه عن الأخبار المشروعة في البداية.
بمجرد أن ينقر المستخدم على أحد هذه المقالات الخادعة، يتم توجيهه إلى نطاق خاضع لسيطرة الجهة الفاعلة، حيث يظهر فورًا مربع حوار للاشتراك في إشعارات المتصفح. العديد من المستخدمين ينقرون على “السماح” إما لتجاوز مربع الحوار أو لاعتقادهم بأن ذلك ضروري للوصول إلى المقالة التي اختاروها.
يمثل هذا النقرة الواحدة بداية تيار مستمر من الإشعارات على مستوى نظام التشغيل، والذي يتجاوز بشكل كامل أدوات حظر الإعلانات القياسية. الإشعارات التي تلي ذلك لا ترتبط بالمقالة الأصلية، وبدلاً من ذلك، تقدم أوامر اعتقال بنكية مزيفة، ومكالمات فائتة زائفة من أفراد العائلة، وتنبيهات بنكية كاذبة – وكلها مصممة لإثارة الخوف ودفع المستخدمين للنقر مرة أخرى.
تفاصيل عمليات Pushpaganda
حدد محللو فريق Satori لأبحاث واستخبارات التهديدات في HUMAN هذه العملية. وأشار الباحثون إلى أنه في ذروتها، أنتجت “Pushpaganda” حوالي 240 مليون طلب عروض أسعار مرتبطة بنطاقاتها خلال أسبوع واحد. استهدفت الحملة في البداية المستخدمين في الهند قبل توسيع نطاق وصولها لتشمل أستراليا والولايات المتحدة ومناطق إضافية.
شارك فريق البحث جميع النطاقات الـ 113 المرتبطة بـ “Pushpaganda” مع جوجل، وأكدت جوجل أنه تم نشر إصلاح لمنع ظهور هذا النوع من المحتوى المكتوب بالجودة المنخفضة والمعالج للتلاعب به في خلاصات “اكتشف”.
يشير حجم ونطاق هذه العملية إلى اتجاه متزايد للجهات الفاعلة في مجال التهديدات لاستخدام منصات توزيع المحتوى الموثوقة كسلاح. نظرًا لأن تغذية “اكتشف” من جوجل هي ميزة نظام مدمجة وليست تطبيقًا يمكن تنزيله، فإن المستخدمين لديهم تحكم محدود فيما يظهر فيها، مما يجعلها نقطة دخول فعالة بشكل غير عادي لهذا النوع من هجمات الهندسة الاجتماعية.
كيف تعمل الواجهة الخادعة وتناوب جافاسكريبت
كان أحد العناصر الأكثر تطوراً من الناحية التقنية في “Pushpaganda” هو استخدامها لأزرار واجهة مستخدم خادعة وآلية تناوب صفحات التبويب المستندة إلى جافاسكريبت. عندما يزور المستخدمون نطاقًا خاضعًا لسيطرة الجهة الفاعلة، يواجهون أزرارًا تحمل عبارات مثل “قدم الآن” أو “احصل على جائزتك” أو “انضم إلى واتساب” – وهي عبارات توحي بإجراء شرعي.
بدلاً من إكمال الوظيفة المعلن عنها، تستخدم هذه الأزرار جافاسكريبت لفتح علامات تبويب جديدة في المتصفح تشير إلى نطاقات إضافية مرتبطة بـ “Pushpaganda”. في علامة التبويب الخلفية التي تركت مفتوحة بفعل النقرة، يتولى خوارزمية جافاسكريبت منفصلة زمام الأمور، حيث تقوم بتناوب علامة التبويب غير النشطة عبر دورة محددة مسبقًا من الصفحات المملوكة للجهة الفاعلة.
هذه الآلية تقوم بتحميل الإعلانات بصمت وتزيد من مدة الجلسات على تلك الصفحات، مما يجعل المواقع تبدو كمصادر زيارات عالية الجودة لشبكات الإعلانات. وكانت النتيجة زيادة في عائدات الإعلانات للجهات الفاعلة في مجال التهديدات – والتي تم إنشاؤها بالكامل من مستخدمين لم يقصدوا أبدًا التفاعل مع تلك الصفحات.
لاحظ باحثو Satori أيضًا مقاطع فيديو وصور مزيفة (Deepfake) مضمنة في الإعلانات على هذه النطاقات، وبعضها يصور كاذبًا مشاهير معروفين ومحترفين طبيين لاستغلال ثقة المستخدمين بشكل أكبر على نطاق واسع.
يجب على المستخدمين الذين يعتقدون أنهم قد اشتركوا في إشعارات مرتبطة بـ “Pushpaganda” مراجعة أذونات إشعارات المتصفح الخاصة بهم على الفور وإلغاء الوصول لأي نطاقات غير مألوفة أو مشبوهة. على كروم لأندرويد، يمكن القيام بذلك من خلال الإعدادات → إعدادات الموقع → الإشعارات. يجب على المستخدمين أيضًا تجنب النقر على “السماح” على مطالب إشعارات من مواقع لا يتعرفون عليها أو يثقون بها، خاصة تلك التي يتم الوصول إليها عبر روابط خلاصات الأخبار.
من منظور تنظيمي، يُنصح فرق الأمن بمراقبة نشاط اشتراك الإشعارات الدافئة غير العادي على الأجهزة المدارة، والتعامل مع أي تنبيهات على مستوى نظام التشغيل التي تحاكي السلطات القانونية أو المالية كمؤشرات على محاولة هندسة اجتماعية. يواصل باحثو Satori مراقبة نطاقات “Pushpaganda” الجديدة وأي علامات على تكيف الجهات الفاعلة في مجال التهديدات، ويوصين بابقاء تدابير الكشف عن الاحتيال الإعلاني والنقرات نشطة عبر جميع البيئات التي تواجه الويب.