أندرويد تحت الهجوم.. “ClayRat” تحوّل هواتف المستخدمين إلى سلاح بصري ومحتوى مخترق

ظهرت حملة تجسس إلكترونية جديدة ومعقدة تستهدف أجهزة أندرويد تحت اسم ClayRat، لتتبوّأ موقعًا متقدمًا بين أخطر التهديدات المحمولة في عام 2025، وتعمل هذه البرمجية الخبيثة متخفية في هيئة تطبيقات شهيرة، مثل واتساب وصور جوجل وتيك توك ويوتيوب، مما يسهل على المهاجمين خداع المستخدمين وتحويل الهواتف إلى أدوات تجسس نشطة.

خطر متزايد

تتمتع ClayRat بقدرة عالية على التكيّف، حيث يطور القائمون عليها باستمرار أساليب التمويه لتجاوز أنظمة الكشف، كما تعمل البرمجية على استخراج رسائل SMS وسجلات المكالمات والإشعارات وبيانات الجهاز بدون أن يلاحظ المستخدم أي اختلاف واضح في عمل هاتفه.

أخطر ما في الأمر أن البرنامج قادر على تفعيل الكاميرا الأمامية لالتقاط صور أو تسجيل مشاهد دون علم صاحب الجهاز، كما يقرأ جهات الاتصال ويرسل إليها روابط خبيثة تلقائيًا، وبذلك يتحوّل كل جهاز مُخترق إلى نقطة انطلاق لحملة إصابة ذاتية تتسع بسرعة، نتيجة الاعتماد على علاقات الثقة الاجتماعية بين المستخدمين.

آليات التسلل

كشفت التحليلات أن شبكة توزيع ClayRat تعتمد على قنوات تلغرام وصفحات هبوط مصممة بدقة لتقليد خدمات شرعية، حيث تُستخدم أسماء نطاقات مسجلة حديثًا وروابط تبدو مألوفة، ثم توجَّه الضحية إلى قناة تحتوي على ملف APK مزيف، ويُعرض على المستخدم واجهة مزيفة لتحديث متجر التطبيقات، وبخلاف التثبيت من المتجر الرسمي، يتيح هذا المسار للبرمجية تجاوز تحذيرات الأمان في نظام أندرويد.

بعد التثبيت، يستغل «الدروبرز» آلية مدير الرسائل القصيرة في أندرويد ليحصل على صلاحية قراءة الرسائل وإرسالها دون مطالبة واضحة، كما تستخدم بعض النسخ بروتوكولات اتصال مشفرة مع خوادم التحكم، وتوظّف تشفير AES-GCM وطرق تمويه مثل ترميز Base64 مع سلاسل علامية محددة لإخفاء حركة البيانات، وهذا التعقيد يساعد على إطالة عمر الحملة ويصعّب ملاحقتها.

انتشار ذاتي

الميزة الأكثر تأثيرًا في ClayRat هي قدرتها على الانتشار الذاتي، فبمجرد الحصول على صلاحية الوصول إلى دليل الهاتف تبدأ البرمجية في تأليف رسائل مقنعة تتضمن روابط التحميل الخبيثة، ثم ترسلها إلى جميع جهات الاتصال، وهذه الطريقة تستثمر الثقة الشخصية لنشر العدوى بسرعة كبيرة، وهي نفس الآلية التي دفعت الحملة لتسجيل مئات النطاقات وآلاف الروابط الفريدة خلال أسابيع قليلة.

الباحثون الأمنيون وثّقوا أكثر من 600 عينة و50 أداة نشر مختلفة خلال ثلاثة أشهر فقط، ما يعكس تنوع الأدوات المستخدمة ومرونة المهاجمين في تغيير الحمولات وتقنيات التثبيت، كما أن النسخ المتقدمة قادرة على تحميل حمولات ديناميكية من خوادم مشفّرة لإخفاء الأثر وزيادة صعوبة التعقب.

سبل الحماية

رغم تطور الهجوم، هناك خطوات عملية تقلّص خطر الإصابة وتحدّ من تأثيرات الحملة، أولها الاعتماد على المتاجر الرسمية لتحميل التطبيقات فقط، وعدم النقر على روابط مريبة أو تثبيت ملفات APK من مصادر غير موثوقة، كما يجب تعطيل خيارات تثبيت التطبيقات من مصادر خارجية في إعدادات الأمان، ومراجعة الأذونات الممنوحة للتطبيقات بشكل دوري، خاصة صلاحية مدير الرسائل وحق الوصول إلى الكاميرا.

ينصح الخبراء أيضًا بتفعيل المصادقة الثنائية حيثما أمكن، واستخدام حلول حماية موثوقة لهواتف أندرويد تتضمن فحوصًا للسلوك والشبكات، والإبلاغ الفوري عن أية رسائل مشبوهة داخل تطبيقات المراسلة، كما ينبغي على المستخدمين إخبار جهات اتصالهم فورًا في حال الاشتباه بإصابة أحد حساباتهم لتفادي انتشار العدوى عبر دائرة المعارف.

ختامًا، تُذكر حملة ClayRat بأن الخطر لا يقتصر على قدرات الهجوم التقنية فقط، بل يكمن في استغلال الثقة الاجتماعية والإهمال الأمني، لذلك يبقى الوعي الرقمي والحيطة هما الدرع الأهم لحماية المستخدمين من موجات التجسس والاحتيال المستمرة.