كشفت تقارير حديثة عن برمجية تجسس جديدة لأنظمة أندرويد تُعرف باسم “ResidentBat”، والتي يُعتقد أنها مرتبطة بجهاز المخابرات البيلاروسي (KGB)، وتوفر للمشغلين الحكوميين وصولاً عميقاً ومستمراً إلى الأجهزة المحمولة لصحفيين ونشطاء مجتمع مدني. تشير التقديرات إلى أن هذه البرمجية الخبيثة كانت قيد التطوير منذ عام 2021، مما يعني أنها ربما كانت تعمل سراً لسنوات قبل الكشف عنها رسمياً.
تتفرد برمجية “ResidentBat” عن برمجيات التجسس المعتادة للأجهزة المحمولة بنموذج نشرها عالي الاستهداف. فبدلاً من الانتشار عبر روابط ضارة أو متاجر التطبيقات، يتطلب تثبيتها وصول المهاجم إلى الجهاز المستهدف فعلياً.
يستخدم المهاجم أداة “Android Debug Bridge” (ADB) لتثبيت ملف APK الخاص ببرمجية التجسس مباشرة على الجهاز، ومن ثم يمنح الإذونات الضرورية يدوياً، ويعطّل “Google Play Protect” لمنع اكتشافها. هذه الطريقة اليدوية تقلل من معدل الإصابة، لكنها تضمن أن كل جهاز يتم اختراقه يخص شخصاً اختاره جهاز المخابرات البيلاروسي عمداً للمراقبة.
قدرات برمجية ResidentBat ومراقبة KGB
بمجرد تثبيتها، تتمتع برمجية “ResidentBat” بالقدرة على التقاط مجموعة واسعة من البيانات الحساسة. تقرأ البرمجية رسائل SMS وسجلات المكالمات، وتسجّل الصوت عبر ميكروفون الجهاز، وتلتقط لقطات شاشة، وتصل إلى الملفات المخزنة محلياً، بل وتتجسس على حركة المرور من تطبيقات المراسلة المشفرة.
حدد محللو Censys البنية التحتية للقيادة والتحكم (C2) للمبرمجيات الخبيثة، ولاحظوا بصمتها التقنية المتسقة – شهادات TLS موقعة ذاتياً باسم “CN=server”، تعمل عبر نطاق منافذ ضيق من 7000 إلى 7257. يُستخدم جهاز C2 فقط لاستلام البيانات المسروقة، وإرسال أوامر المشغلين، وتسليم تحديثات التكوين، مما يبقي المهاجم مسيطراً بعد التثبيت الأولي.
يمتد نطاق وصول البرمجيات الخبيثة إلى ما هو أبعد من سرقة البيانات. تمنح “ResidentBat” المشغلين أيضاً القدرة على محو جهاز تم اختراقه عن بُعد باستخدام وظيفة “DevicePolicyManager.wipeData” في أندرويد، مما يعني تدمير الأدلة أو معاقبة الهدف بأمر واحد.
انتشار البنية التحتية والتحديات الأمنية
حتى فبراير 2026، تم تحديد بنية تحتية نشطة لـ “ResidentBat” عبر عشرة مضيفين، تتركز في هولندا (5)، وألمانيا (2)، وسويسرا (2)، وروسيا (1)، مع لعب أنظمة الحكم الذاتي الروسية مثل AS29182 (RU-JSCIOT) دوراً ملحوظاً بشكل خاص.
يتم تسليم تكوين C2 للبرمجيات الخبيثة بتنسيق JSON ويتضمن معلمات تتحكم في عنوان الخادم، وتوقيت تحميل البيانات، وعلامة “تحميل البيانات فوراً”.
تقوية C2 وتجنب الكشف
تتمثل إحدى السمات التقنية الأكثر بروزاً لبرمجية “ResidentBat” في التقوية المتعمدة لخوادم C2 الخاصة بها، مما يجعل الكشف التقليدي المستند إلى الشبكة صعباً بشكل غير عادي. عندما يقوم الباحثون بفحص هذه الخوادم بنشاط، تعيد كل مسارات HTTP استجابة “200 OK” بجسم فارغ تماماً، بغض النظر عن محتوى الطلب أو رؤوس المصادقة المقدمة.
توفر هذه الاستجابة الجامدة معلومات سلوكية مفيدة للمدافعين الذين يحللون حركة مرور HTTP، مما يدفع كل الكشف الهادف إلى مؤشرات طبقة TLS. بالإضافة إلى استراتيجية التهرب هذه، تعيد خوادم C2 عادةً رأس `Date` ثابتاً أو مضبوطاً بشكل مصطنع في استجابات HTTP – على سبيل المثال، وقت ثابت مثل “Tue, 06 Jan 2026 01:00:00 GMT” – وهو أسلوب متعمد لمكافحة الطب الشرعي مصمم لتقليل إمكانية تحديد الهوية.
يبدو أن بنية الخادم تعتمد أيضاً على مصادقة شهادة العميل المضمنة مباشرة داخل APK، وبروتوكول اتصال خاص لا يتبع أنماط REST القياسية، والسماح للجهاز على جانب الخادم، مما يعني أن الأجهزة المعتمدة مسبقاً فقط يمكنها التفاعل بشكل مفيد مع C2. عبر البنية التحتية التي تم فحصها، لوحظت خمس بصمات SHA-256 مختلفة للشهادات، مع إعادة استخدام بعض الشهادات عبر مجموعات IP ومنافذ متعددة – نمط يساعد في الواقع باحثي الأمان على تجميع وتتبع البنية التحتية ذات الصلة بمجرد تحديد نقطة نهاية واحدة.