يستهدف مجرمو الإنترنت مستخدمي أجهزة أندرويد عبر حملة تصيد احتيالية متطورة، تبدو وكأنها دعوات لاختبار نسخ تجريبية من ChatGPT وأدوات إعلانات ميتا. هذه الحملة، التي تم رصدها مؤخرًا، تسعى إلى سرقة بيانات اعتماد فيسبوك والاستيلاء على حسابات المستخدمين بالكامل.
تعتمد الحملة على استغلال الثقة المتزايدة في العلامات التجارية المعروفة في مجال الذكاء الاصطناعي، لتحقيق أهدافها الخبيثة. يتم خداع المستخدمين لتثبيت برامج ضارة مباشرة على أجهزتهم المحمولة.
حملة تصيد تستهدف مستخدمي أندرويد عبر دعوات وهمية لـ ChatGPT
تبدأ هذه الحملة برسائل بريد إلكتروني تبدو شرعية تمامًا، حيث تصل من عنوان بريد إلكتروني تابع لخدمة Google Firebase App Distribution، وهي خدمة رسمية يستخدمها المطورون لتوزيع إصدارات تجريبية من تطبيقاتهم.
ونظرًا لأن البريد الإلكتروني يأتي من عنوان Google حقيقي، فإن معظم المستلمين لا يشكون في صحته. الرسائل تدعو المستخدمين لاختبار نسخ تجريبية من تطبيقات ChatGPT ومن أدوات الإعلان الخاصة بـ Meta لأجهزة أندرويد.
تشير تحليلات أجرتها فرق SpiderLabs من LevelBlue إلى أن هذه الحملة على أنظمة أندرويد هي استمرار مباشر لعملية تصيد سابقة استهدفت مستخدمي iOS. في تلك الحملة السابقة، انتحل المهاجمون شخصية ChatGPT وGoogle Gemini لدفع تطبيقات وهمية إلى أجهزة Apple.
الآن، بعد أن أصبح نظام أندرويد هدفًا رئيسيًا، يبدو أن المهاجمين يشنون عملية منسقة وعابرة للمنصات، بهدف الوصول إلى أكبر شريحة ممكنة من قاعدة مستخدمي الهواتف المحمولة عالميًا.
تفاصيل الهجوم والاستيلاء على الحسابات
ظهرت هذه الحملة للعلن في أواخر مارس 2026. تتضمن أسماء الحزم الخبيثة المرتبطة بالعملية أسماء مثل com.OpenAIGPTAds وcom.opengpt.ads وcom.meta.adsmanager. تم تصميم هذه المعرفات لتبدو كأسماء معقولة لأدوات إعلانية مدعومة بالذكاء الاصطناعي، مما يجعل من الصعب التشكيك فيها دون تدقيق.
بمجرد تثبيت التطبيقات، تعرض صفحة تسجيل دخول لفيسبوك تبدو حقيقية، وتطلب من المستخدمين إدخال بيانات اعتمادهم. الهدف النهائي هو الاستيلاء على الحساب، مما يمنح المهاجمين وصولاً إلى حسابات الأعمال والإعلانات على فيسبوك، والتي يمكن استخدامها لحملات إعلانية غير مصرح بها أو لسرقة أوسع للبيانات.
كيف تصبح Firebase App Distribution قناة للهجوم
الجانب الأكثر إثارة للاهتمام تقنيًا في هذه الحملة هو كيفية تحويل خدمة Firebase App Distribution إلى آلية لتوصيل البرامج الضارة. Firebase App Distribution هي خدمة من Google تتيح للمطورين إرسال الإصدارات التجريبية لتطبيقاتهم إلى مجموعة صغيرة من المستخدمين قبل الإصدار العام الكامل.
المستخدمون الذين يشاركون بانتظام في اختبار التطبيقات اعتادوا على الثقة في رسائل الدعوة هذه، والمهاجمون يستغلون هذا السلوك بالضبط. تبدو رسائل البريد الإلكتروني المتسللة غير قابلة للتمييز عن دعوة مطور حقيقية، ولا توفر للمستلمين أي دليل بصري واضح على وجود مشكلة.
من خلال توجيه عملية التسليم عبر قناة Google راسخة، يتجنب المهاجمون إشارتين حمراوتين عادة ما يبحث عنهما المستخدمون الحذرون: عنوان مرسل مشبوه ورابط تنزيل غير رسمي. نظرًا لأن البريد الإلكتروني يصل من [email protected] ويأتي التطبيق عبر البنية التحتية للتوزيع الخاصة بـ Google، فمن غير المرجح أن تثير أي من عوامل تصفية البريد العشوائي أو الغرائز الطبيعية للمستخدم أي إنذار.
يتم تثبيت التطبيقات خارج متجر Play، متجاوزة عملية مراجعة Google بالكامل، مما يسمح للسلوك الضار بالوصول إلى الجهاز دون عوائق. اكتشف باحثو SpiderLabs أيضًا العديد من نطاقات البريد الإلكتروني الخبيثة النشطة في دعم هذه الحملة، بما في ذلك thcsmyxa-nd[.]com وmoitasec[.]com وtourmini[.]site وocngongiare[.]com وdisanviet[.]homes وitrekker[.]space.
ينصح خبراء الأمن والأفراد بالتعامل مع أي دعوة غير مرغوب فيها لاختبار التطبيقات بحذر بالغ، حتى تلك التي يبدو أنها قادمة من عناوين Google. يجب تنزيل التطبيقات فقط من متجر Google Play الرسمي. يجب على المستخدمين أبدًا عدم إدخال بيانات اعتماد فيسبوك داخل تطبيق لم يتم تنزيله عبر قناة موثوقة ومعتمدة.
يُنصح مسؤولو الشبكات وفرق الأمن بحظر النطاقات الخبيثة المحددة فورًا. ويجب على المؤسسات التأكد من أن موظفيها على دراية جيدة بهذا الشكل المحدد والمتزايد الانتشار من الهندسة الاجتماعية.