حملة تجسس متطورة تستهدف الشرق الأوسط عبر تطبيقات مراسلة وهمية
كشفت تقارير حديثة عن حملة تجسس إلكتروني متطورة تستهدف المنطقة، حيث يقوم قراصنة بانتحال صفة تطبيقات المراسلة الآمنة المعروفة لنشر برامج تجسس قادرة على سرقة بيانات حساسة من أجهزة الأندرويد. بدأت هذه الحملة منذ العام 2022 على الأقل، وتعمل بهدوء عبر دول الشرق الأوسط.
عمل المهاجمون على تصميم تطبيقات خبيثة تبدو مطابقة تماماً لتطبيقات شهيرة وموثوقة مثل سيجنال، توتوك، وبوتيم. هذه التطبيقات يستخدمها بشكل يومي صحفيون، نشطاء، ومنظمات مجتمع مدني لإجراء اتصالات حساسة، مما يجعلها هدفاً مثالياً للقراصنة.
بدأت تفاصيل هذه الحملة بالظهور في أغسطس 2025، عندما بدأ باحثون في مبادرة “Access Now’s Digital Security Helpline” بالتحقيق في موجة هجمات تصيد استهدفت صحفيين بارزين وسياسيين معارضين في مصر. خلال التحقيق، تم اكتشاف برامج تجسسية تعمل على أجهزة أندرويد مرتبطة ببنية تحتية للتصيد، مما استدعى البحث عن مصدرها.
توسعت دائرة هذا الجهد التجسسي لتشمل عدة دول منها مصر، البحرين، الإمارات، السعودية، لبنان، والمملكة المتحدة، مع وجود احتمالية امتدادها إلى الولايات المتحدة. وتشير التحليلات إلى أن هذه الحملة قد تكون عمليات “اختراق مقابل أجر” (hack-for-hire) مرتبطة بمجموعة BITTER APT (T-APT-17)، والتي يمتلكها مشتبه بهم بارتباطهم بالحكومة الهندية.
بعد الحصول على 11 عينة من برنامج التجسس “ProSpy”، أقدمها يعود إلى أغسطس 2024، تمكن محللو التهديدات في Lookout من تتبع البنية التحتية للبرنامج عبر خوادم تحكم متعددة ومواقع وهمية. وتشير التقييمات بثقة معتدلة إلى أن منظمة مرتبطة بـ BITTER APT، أو BITTER نفسها، قد تكون تعاقدت مع جهات مجهولة لإجراء عمليات مراقبة ضد أهداف من المجتمع المدني في منطقة الشرق وشمال أفريقيا.
يُعد هذا الكشف عن نشاط مرتبط بـ BITTER APT يستهدف المجتمع المدني في المنطقة، هو الأول الذي يتم توثيقه رسمياً. برنامج ProSpy تم تحديد هويته علناً في أكتوبر 2025، عندما نشرت ESET بحثاً حول عائلتين من برامج التجسس على أندرويد – ProSpy و ToSpy – وقد تم العثور على كليهما يستهدف مستخدمين في الإمارات.
تم تجميع هاتين العائلتين تحت اسم ProSpy لتوضيح الحقائق. البرنامج مكتوب بلغة Kotlin ويتبع هيكلية كائنية التوجه، حيث تكون لكل فئة عاملة مهمة محددة في جمع البيانات. يقوم البرنامج بجمع جهات الاتصال، رسائل SMS، وتفاصيل الجهاز، بالإضافة إلى مسح مساحة التخزين المحلية بحثاً عن الصور، وتسجيلات الصوت، ومقاطع الفيديو، والمستندات، والملفات الأرشيفية، ثم يرسل كل شيء بهدوء إلى خوادم يتحكم بها المهاجمون.
كيف يصل برنامج ProSpy إلى ضحاياه
تتبع طريقة التوزيع عملية مدروسة من مرحلتين. أولاً، يقوم المهاجمون بإنشاء حسابات وهمية على وسائل التواصل الاجتماعي أو منصات المراسلة – أحياناً بانتحال صفة دعم Apple عبر iMessage أو عبر منصات احترافية مثل LinkedIn – وذلك لبناء اتصال أولي مع الهدف. هذا الأسلوب يهدف إلى كسب ثقة الضحية قبل المتابعة.
بمجرد بناء مستوى الثقة، يتم إرسال رابط تصيد للضحية. بالنسبة لمستخدمي الأندرويد، يؤدي هذا الرابط مباشرة إلى موقع ويب وهمي يستضيف ملف APK خبيث تم تصميمه ليبدو وكأنه تطبيق مراسلة شرعي. يتطلب الأمر من المستخدم تنزيل وتثبيت التطبيق بنفسه.
خلال التحقيق، كان هناك مثال واضح تضمن دعوة وهمية للانضمام إلى مكالمة فيديو آمنة. أدى النقر على الرابط إلى إعادة توجيه المستخدم إلى صفحة هبوط تنتحل صفة تحديث لتطبيق ToTok، والتي بدأت بعد ذلك في تنزيل ملف APK خبيث تلقائياً. كانت الصفحة متوفرة باللغتين الإنجليزية والعربية، مما يوضح أن المهاجمين كانوا يستهدفون عمداً المستخدمين الناطقين باللغة العربية. تم بناء مواقع مشابهة لـ Signal و Botim، كل منها تم إعداده بعناية لخداع المستخدمين.
بعد التثبيت، يقوم ProSpy بالاتصال بخادم التحكم الخاص به باستخدام مكتبة Retrofit ويقبل ما يصل إلى عشرة أوامر مرقمة، لتوجيهه نحو جمع أي شيء بدءاً من المستندات وقوائم جهات الاتصال إلى رسائل SMS والصور وملفات الفيديو.
.webp.jpeg)
ينصح أعضاء المجتمع المدني والصحفيون والناشطون في الشرق الأوسط بتجنب تنزيل التطبيقات من خارج المتاجر الرسمية، والبقاء حذرين من الروابط غير المتوقعة، حتى لو كانت من جهات اتصال تبدو مألوفة. يجب على المنظمات التي تدعم الأفراد المعرضين للخطر تشجيع استخدام أدوات الكشف عن تهديدات الهواتف المحمولة وتوعية المستخدمين بانتظام حول مخاطر تثبيت التطبيقات من مصادر غير موثوقة.
أي أذونات غير عادية للتطبيقات أو سلوك غير متوقع للجهاز بعد تثبيت تطبيق مراسلة يجب اعتباره علامة حمراء ويجب مراجعته دون تأخير.
تابعونا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، اجعل CSN مصدراً مفضلاً لك في Google.
