محادثة واحدة تكفي.. برنامج تجسس غامض يستغل واتساب لاختراق هواتف أندرويد

كشفت تقارير أمنية عن ظهور حملة تجسس إلكتروني جديدة تستهدف مستخدمي هواتف أندرويد، وتعتمد على عملية احتيال عاطفي متقنة تستخدم حسابات مواعدة مزيفة لسرقة البيانات الشخصية.
 

ويحمل التطبيق الخبيث اسم GhostChat، حيث يتنكر في هيئة منصة دردشة شرعية، بينما يعمل في الخفاء كـ أداة تجسس متطورة تنفذ عمليات مراقبة وسرقة بيانات دون علم المستخدم.

حملة اختراق صامتة تضرب مستخدمي أندرويد عبر واتساب

تعكس هذه الحملة اتجاها خطيرا في عالم الجريمة السيبرانية، إذ يمزج المهاجمون بين أساليب الهندسة الاجتماعية وبرمجيات التجسس المتقدمة لاختراق الهواتف الذكية والوصول إلى معلومات حساسة.

تم اكتشاف الحملة بعد رفع تطبيق أندرويد مشبوه إلى منصة VirusTotal من داخل باكستان في سبتمبر 2025، ويتخفى GhostChat على أنه تطبيق مواعدة يحمل اسم “Dating Apps without payment”، مستخدما أيقونة تطبيق حقيقي متاح على متجر جوجل بلاي.

ورغم ذلك، لم يتم توزيع النسخة الخبيثة عبر المتاجر الرسمية، بل تطلب من الضحايا تثبيتها يدويا بعد تفعيل خيار تثبيت التطبيقات من مصادر غير معروفة، وهي خطوة تساعد المهاجمين على تفادي أنظمة الحماية مثل Google Play Protect في المراحل الأولى.

وأوضح محللو Welivesecurity، أن التطبيق يعتمد طبقة خداع غير معتادة، حيث يعرض 14 حسابا نسائيا مزيفا، جميعها مقفلة وتتطلب رموز مرور لفتحها، وتكون هذه الرموز مدمجة داخل التطبيق وموزعة مع ملف التثبيت، لإيهام الضحايا بوجود وصول حصري.

وبعد إدخال الرمز الصحيح، يتم تحويل المستخدم إلى تطبيق واتساب لبدء محادثة مع أرقام يديرها المهاجمون، وتحمل جميعها رموز اتصال لتعزيز المصداقية.

وفي الوقت الذي يعتقد فيه الضحايا أنهم يتواصلون مع أشخاص حقيقيين، يعمل برنامج التجسس في الخلفية على إرسال بيانات الجهاز إلى خادم التحكم والسيطرة. 

ويبدأ التطبيق فورا بجمع معرفات الجهاز، وقوائم جهات الاتصال، والملفات المخزنة، بما في ذلك الصور وملفات PDF ومستندات مايكروسوفت Office.

كما ينشئ GhostChat نظام مراقبة مستمر عبر تتبع الصور الجديدة المجدولة، وإجراء فحوصات دورية كل خمس دقائق لاكتشاف أي مستندات جديدة، ما يضمن جمع البيانات طوال فترة الإصابة.

آلية الإصابة وتقنيات الاستمرارية

يعتمد GhostChat على آليات إصابة واستمرارية متقدمة تضمن بقاءه لفترات طويلة على الأجهزة المخترقة، فعند التثبيت، يطلب التطبيق أذونات تبدو طبيعية لتطبيقات الدردشة، لكنها تمنحه في الواقع قدرات مراقبة واسعة.

ويستغل البرنامج الخبيث خاصية BOOT_COMPLETED في نظام أندرويد، ما يسمح له بالعمل تلقائيا عند إعادة تشغيل الجهاز، ويضمن استمراريته حتى بعد إيقاف التشغيل.

كما يستخدم تقنيات الاستمرارية في الواجهة الأمامية للحفاظ على تشغيل خدمة التجسس بشكل دائم دون لفت انتباه المستخدم، متجنبا بذلك أنظمة تحسين البطارية التي قد توقف نشاطه.

ويتواصل التطبيق مع خوادم التحكم عبر اتصالات HTTPS مشفرة، ما يصعب عملية اكتشافه نظرا لتشابه حركة البيانات مع الاتصالات الشرعية.

وبفضل هذا التصميم، يستطيع GhostChat تنفيذ تسريب فوري للبيانات عند أول تشغيل، إلى جانب مراقبة طويلة الأمد طوال دورة الإصابة، ما يجعله إطار تجسس متكاملا يعمل بمعزل عن تفاعل المستخدم مع واجهة تطبيق المواعدة المزيف.