تحذير من تطبيقات مزيفة تستهدف مستخدمي أندرويد بالتجسس وسرقة البيانات

كشف باحثون في شركة الأمن السيبراني ESET عن حملتين تجسسيتين جديدتين تستهدفان مستخدمي نظام أندرويد، من خلال تطبيقين خبيثين أُطلق عليهما اسما ProSpy وToSpy.

وهذه التطبيقات تنتحل هوية تطبيقات شهيرة مثل Signal و ToTok لخداع المستخدمين، ولا تتوفر عبر المتاجر الرسمية مثل Google Play أو App Store، بل يتم ترويجها من خلال مواقع إلكترونية مزيفة تستخدم أساليب الهندسة الاجتماعية لإقناع الضحايا بتحميلها يدويًا على هيئة ملفات APK، بزعم أنها تحديثات أمنية أو تحسينات للتطبيقات الأصلية.

وبمجرد تثبيت التطبيق الخبيث، يحصل على أذونات واسعة تتيح له الوصول إلى الملفات وجهات الاتصال والرسائل النصية وحتى النسخ الاحتياطية، كما يثبت نفسه على الجهاز ويشغل خدمات في الخلفية تضمن استمراره حتى بعد إعادة تشغيل الهاتف.

أحد المواقع التي شاركت في توزيع تطبيق ToSpy انتحلت شكل متجر Galaxy الخاص بشركة سامسونج، لإقناع المستخدمين بتحميل إصدار ضار من تطبيق ToTok. 

أما حملة ProSpy فقد استخدمت مواقع مقلدة لتطبيقي Signal وToTok وروّجت لتطبيقات مزيفة بأسماء مثل Signal Encryption Plugin وToTok Pro.

ويعتمد التطبيق على حيل تمويه ذكية لإخفاء نشاطه؛ فبعد التثبيت يوجه المستخدم إلى التطبيق الرسمي ليبدو الأمر وكأنه عملية تحديث عادية، بينما يكون قد بدأ بالفعل في جمع البيانات،كما أن بعض هذه التطبيقات تغيّر أيقونتها لتشبه خدمات النظام مثل Google Play، ما يصعّب اكتشافها.

ولتفادي توقفه، يستخدم التطبيق إشعارًا دائمًا عبر ما يُعرف بـ الخدمة الأمامية، ويعتمد على أدوات نظام أندرويد مثل AlarmManager لإعادة تشغيل نفسه تلقائيًا.

وبحسب تقرير ESET، بدأت حملة ProSpy في عام 2024 واكتُشفت في يونيو 2025، بينما تعود حملة ToSpy إلى يونيو 2022 وما زالت مستمرة حتى الآن.

وفي ختام التقرير، شددت الشركة على ضرورة توخي الحذر عند تحميل التطبيقات من خارج المتاجر الرسمية، وعدم تفعيل خيار تثبيت التطبيقات من مصادر غير معروفة، مؤكدة أن هذه الهجمات أصبحت أكثر انتشارًا وتعقيدًا مع استغلال ثقة المستخدمين في العلامات الموثوقة.