كشفت تقارير أمنية عن برمجيات تجسس جديدة تدعى Asin تستهدف مستخدمي أندرويد في المنطقة العربية عبر مواقع وتطبيقات إخبارية وخرائط حروب مزيفة لسرقة البيانات.
بدأت هذه الحملات الخبيثة في الظهور مع بداية عام 2025، حيث استغل المهاجمون اهتمام المستخدمين بمتابعة الأخبار الجيوسياسية والتحديثات الأمنية في المنطقة العربية. ووفقاً لما تابعه موقع تيكبامين، فإن المهاجمين استخدموا استراتيجيات معقدة تعتمد على إنشاء مواقع ويب تبدو رسمية وموثوقة لخداع الضحايا ودفعهم لتحميل برمجيات خبيثة.
ما هي برمجيات Asin الخبيثة وكيف تعمل؟
تعد برمجيات Asin نوعاً متطوراً من برمجيات التجسس (Spyware) التي تستهدف نظام التشغيل أندرويد. تعتمد فكرة الهجوم على دمج وظائف برمجية شرعية ومفيدة للمستخدم مع قدرات تجسس خفية تعمل في الخلفية دون علمه. تهدف هذه البرمجيات بشكل أساسي إلى جمع المعلومات الحساسة ومراقبة نشاط المستخدمين المستهدفين.
تتميز هذه البرمجية بقدرتها على التخفي داخل تطبيقات تبدو عادية مثل أدوات الخدمات أو تطبيقات الخرائط. وبمجرد تثبيت التطبيق ومنحه الأذونات المطلوبة، تبدأ البرمجية في تنفيذ مهامها التجسسية، مما يمنح المهاجمين وصولاً واسعاً إلى بيانات الجهاز.
كيف يتم تضليل المستخدمين عبر تطبيقات إخبارية مزيفة؟
اعتمد المهاجمون على إنشاء شبكة من المواقع المزيفة التي تنتحل صفة مصادر إخبارية حكومية أو منصات لمتابعة خرائط الحروب. وحسب تقرير تيكبامين، فقد تم رصد المواقع التالية كأدوات أساسية في هذه الهجمات:
- موقع govlens[.]net: الذي ينتحل صفة مصدر إخباري حكومي.
- موقع live-war-map[.]com: المتخصص في تقديم تحديثات وهمية عن النزاعات.
- موقع syriadefensemap[.]com: الذي يقدم تطبيقاً تحت اسم "خريطة الدفاع السورية".
دور وسائل التواصل الاجتماعي في نشر العدوى
لم يكتفِ المهاجمون بالمواقع الإلكترونية، بل أطلقوا قنوات مخصصة على تليجرام وحسابات على فيس بوك للترويج لهذه التطبيقات. وقد استلهم المهاجمون أسماء قنواتهم من منصات عالمية معروفة مثل Liveuamap لزيادة مصداقيتهم لدى المستخدمين العرب الباحثين عن معلومات دقيقة حول الأحداث الجارية.
ما هي الهواتف المتضررة من حملة التجسس الجديدة؟
تم تحديد عدة عينات من برمجية Asin مرتبطة بأجهزة محددة وأنظمة تشغيل حديثة، مما يشير إلى أن الهجوم يستهدف أحدث التقنيات المتاحة. ومن أبرز الأجهزة والمنصات التي رصدت فيها البرمجية:
- هواتف شاومي Redmi Note 13 Pro العاملة بنظام أندرويد 15.
- هواتف شاومي Redmi Note 13 Pro plus المتطورة.
- ملفات تم تحميلها من نطاق c-pdf[.]net في أواخر عام 2025.
من المهم الإشارة إلى أن الإصابة لا تحدث تلقائياً؛ بل تتطلب من المستخدم تحميل ملف APK يدوياً وتثبيته على جهازه، بالإضافة إلى منحه الأذونات اللازمة التي تطلبها البرمجية للوصول إلى البيانات، وهو ما يبرز أهمية الوعي الأمني عند التعامل مع التطبيقات من خارج المتاجر الرسمية.
هل يستهدف الهجوم الصحفيين والباحثين العرب فقط؟
تشير طبيعة التطبيقات المستخدمة كتمويه (مثل تطبيقات المصادر المفتوحة وخرائط الدفاع) إلى أن الفئة المستهدفة قد تكون محددة بدقة. يعتقد الخبراء أن الصحفيين العرب والممارسين في مجال الاستخبارات مفتوحة المصدر (OSINT) هم الأهداف الرئيسية لهذه الحملة، نظراً لحاجتهم المستمرة لمثل هذه الأدوات في عملهم اليومي.
تتضمن قائمة التطبيقات الثلاثة الأكثر خطورة التي تم اكتشافها ما يلي:
- تطبيق GovLens.
- تطبيق WarMap.
- تطبيق Syria Defense Map.
في الختام، ينصح خبراء التقنية دائماً بضرورة توخي الحذر الشديد وعدم تحميل أي تطبيقات من مصادر غير موثوقة، خاصة تلك التي يتم الترويج لها عبر منصات التواصل الاجتماعي بوعود كاذبة. إن حماية جهازك تبدأ من فحص الأذونات المطلوبة وتجنب تثبيت ملفات APK المجهولة المصدر لضمان سلامة بياناتك الشخصية والمهنية.
