كشفت تقارير أمنية حديثة عن ظهور حملة برمجيات خبيثة جديدة تستهدف أجهزة أندرويد، مستغلةً منصات تعلم آلي شرعية وتقنيات الهندسة الاجتماعية لنشر برمجيات ضارة بالغة الخطورة. تبدأ الحملة بإشعارات زائفة تدعي إصابة هواتف المستخدمين، وتوجيههم لتنزيل تطبيق أمني وهمي يمهد الطريق لسرقة البيانات والسيطرة الكاملة على الأجهزة.
تعتمد هذه الحملة بشكل أساسي على منصة Hugging Face، وهي منصة شهيرة يستخدمها المطورون والباحثون لمشاركة نماذج وأدوات تعلم الآلة. بدلاً من استخدام نطاقات مشبوهة قد يتم حظرها بسهولة، يستغل المهاجمون هذه الخدمة الموثوقة لاستضافة ونشر حمولاتهم الخبيثة، مما يجعل اكتشافها أكثر صعوبة.
حملة خبيثة تستغل Hugging Face لنشر برمجيات ضارة على أندرويد
تُعد هذه الطريقة خطيرة بشكل خاص لأن Hugging Face منصة معترف بها على نطاق واسع، مما يجعل أدوات الأمن أقل عرضة لتنبيه المستخدمين بوجود تهديد عند التعامل مع حركة مرور البيانات القادمة منها. وعلى الرغم من ادعاء المنصة بفحص جميع الملفات المرفوعة، فقد أظهرت هذه الحملة وجود فجوات في إجراءات الأمن الحالية.
بعد تثبيت التطبيق الأولي، المعروف باسم TrustBastion، يعرض المستخدمين إشعار تحديث مزيف يبدو مطابقاً لإشعارات التحديث الشرعية من جوجل بلاي أو نظام أندرويد. يقوم التطبيق، وفقاً لباحثي Bitdefender، بالاتصال بخادم عند النقر على خيار التحديث، والذي يقوم بدوره بتوجيه المستخدمين إلى مستودع على Hugging Face يحتوي على التطبيق الخبيث الفعلي.
آلية عمل الهجوم والتدمير
تتطلب البرمجية الخبيثة بعد تثبيتها صلاحيات حساسة، وتتحايل على المستخدم بادعاء أنها ميزة أمنية ضرورية للهاتف. أهم هذه الصلاحيات هي خدمات الوصول (Accessibility Services)، والتي تمنح البرمجية الخبيثة رؤية واسعة لكل ما يفعله المستخدمون على أجهزتهم.
بفضل هذه الصلاحيات، يمكن للبرمجية الخبيثة مراقبة نشاط المستخدم، وتسجيل الشاشات، وعرض شاشات تسجيل دخول وهمية مصممة لسرقة بيانات الاعتماد المالية من خدمات مثل Alipay وWeChat. كما تقوم البرمجية الخبيثة بالتقاط معلومات قفل الشاشة والحفاظ على اتصال مستمر مع خادم تحكم عن بعد.
يسمح هذا الاتصال المستمر للمهاجمين بنقل البيانات المسروقة عبر الإنترنت وتلقي أوامر جديدة في الوقت الفعلي. اكتشف الباحثون أن المهاجمين يقومون بتجديد نسخ جديدة من البرمجية الخبيثة كل خمسة عشر دقيقة تقريباً من خلال تقنية التعدد الشكلي (polymorphism) من جانب الخادم. على مدى تسعة وعشرين يوماً، شهد المستودع الأصلي أكثر من ستة آلاف عملية إيداع.
تم تصميم كل نسخة جديدة، مع الاحتفاظ بنفس الوظائف الخبيثة، لتهرب من أنظمة الكشف الأمنية التي تعتمد على هاشات الملفات. وعندما اختفى مستودع TrustBastion الأصلي في ديسمبر 2025، أعاد المهاجمون إطلاق حملتهم باسم تطبيق مختلف، Premium Club، باستخدام نفس الشفرة الأساسية لمواصلة الحملة وتجنب الكشف المطول.