واتساب الذهبي، بلاس، الأزرق، وجي بي، كلها أسماء لنسخ واتساب معدلة، وهي إصدارات غير رسمية من التطبيق الأصلي. طُوّرت لتحتوي ميزات جذابة مقارنةً بالنسخ الرسمية، مثل التحكم المتقدم في الخصوصية، كتحديد من يمكنه رؤية آخر ظهور وإخفاء قراءة الرسائل، وإرسال ملفات كبيرة الحجم في رسالة واحدة، وغيرها.مع ذلك، فإن فاتورة هذه الميزات المغرية تتمثل في خطورة ما يجري في خلفية التطبيق. هذا التحقيق يكشف مخاطر هذه البرامج، آلية عملها، ومصادرها، وكيف يمكن لمطوري النسخ المعدلة الوصول للبيانات الشخصية.
ملايين المستخدمين العرب يستخدمون نسخ واتساب مُعدّلة
تُستخدم برامج المحادثة المعدلة، وعلى رأسها واتساب، بشكل واسع في العالم العربي. يتجاهل المستخدمون التحذيرات الصادرة من متاجر التطبيقات حول مخاطر هذه البرامج ويثبّتونها على هواتفهم، مما يمنحها صلاحيات كاملة للوصول وإدارة محتوى البيانات الشخصية. ورغم الانتشار الجغرافي الواسع للتطبيقات المعدلة، تحتل الدول العربية المراتب الأولى في نسبة استخدامها. وفقًا لتقرير كاسبرسكي الصادر في نوفمبر/تشرين الثاني 2023، سجلت أذربيجان المركز الأول في استخدام النسخ المعدلة، تلتها عدة دول عربية مثل اليمن والسعودية ومصر.
التحليل البرمجي لبرامج واتساب المعدّلة
عبر تحليل التطبيقات المشكوك فيها باستخدام أدوات فحص التهديدات من غوغل، وأخذ عيّنة من أربع نسخ حديثة معدلة لبرنامج "واتساب الذهبي" وواتساب "الأزرق"، والتي وزعت على قنوات تليغرام عربية ووصلت لملايين الأشخاص، تبيّن وجود ثغرات أمنية ووحدات تجسس في جميعها، ورصدت أدوات الفحص برمجيات خبيثة مثل Android.Riskware.TestKey.rA| PrivacyRisk.SPR/ANDR، التي تجمع بيانات المستخدم وتعرض إعلانات مزعجة وتبطئ أداء الجهاز.
آلية عمل واتساب المعدل
بعد تثبيت تطبيق واتساب المعدل على الهاتف، ومنحه الأذونات الضرورية، تقوم الملفات التنفيذية الخبيثة في التطبيق بتشغيل وحدة التجسس في الخلفية، تبدأ هذه الوحدة بالاتصال بخوادم إنترنت خارجية وإرسال معلومات أولية عن الجهاز، كرقم الهاتف، الرقم التسلسلي، وغيرها.
تعمل وحدة تجسس ثانوية على عمليات أخرى في الخلفية فتبدأ بإجراء مسح في الجهاز عن الملفات الموجودة. تقنيًّا يمكن لوحدة التجسس الوصول وإرسال الملفات الموجودة في ذاكرة الهاتف الخارجية إلى مشغليه، ومن الممكن أن ترسل وحدة التجسس تسجيلات صوتية أو غيرها من البيانات الحساسة للخوادم كونها تمتلك أذونات الوصول لها، وذلك كل خمس دقائق تقريبًا. بعد فك ضغط حزمة التثبيت أجرى مسبار اختبارات أخرى للتطبيق على أدوات الفحص المطوّرة بالذكاء الاصطناعي، ووجد مؤشرات واضحة لوجود برمجيات خبيثة.
مؤشرات البرمجيات الخبيثة في واتساب الذهبي
كشف الذكاء الاصطناعي بعد فحص وتجربة التطبيق أنه يتضمن سلوكيات متعددة مريبة، مثل الوصول المتكرر إلى التفضيلات المشتركة (آلية تتيح للتطبيقات تخزين البيانات البسيطة)، الاتصالات الشبكية العديدة، وطلب العديد من الأذونات التي تستخدم لأغراض خبيثة مثل تتبع المستخدمين أو جمع البيانات دون علمهم.
يستعرض هذا القسم نتائج تحليل الذكاء الاصطناعي لمؤشرات البرمجيات الخبيثة في تطبيق "واتساب الذهبي". تُظهر كل ميزة عدد مرات استخدامها، مما يدل على تكرار الاستخدام الخبيث لتلك الميزة. الأعداد 0 تعني عدم وجود عمليات مشبوهة مرتبطة بالميزة بشكل خطير أو مباشر. وفيما يلي شرح لوظائف الملفات المعدلة الخبيثة التي اكتشفها الذكاء الاصطناعي في التطبيق:
العلاقة بين تطبيق واتساب المعدل والموارد الخارجية
أظهر اختبار تحليل العلاقات بين التطبيق والموارد الخارجية كالروابط المشبوهة أو الخبيثة، أن التطبيق يتصل بعدة خوادم خارجية، ومن المرجح أن التطبيق يرسل بيانات المستخدمين لهذه الخوادم، فمن الناحية التقنية لديه القدرة على ذلك.
في نوفمبر 2023، فحص مختبر كاسبرسكي نسخ معدلة من تطبيق واتساب وزّعتها قنوات تليغرام عربية. عثر الخبراء على وحدة تجسس تعرف بإسم Trojan-Spy.AndroidOS.CanesSpy. ووفقًا لتحذير نشره خبراء الأمن السيبراني في الشركة، كانت وحدة التجسس تعمل بنشاط باستخدام مكونات مشبوهة.
ذكرت كاسبرسكي أنه بين 5 و31 أكتوبر/تشرين الأول 2023، اعترضت حلولها الأمنية أكثر من 340,000 هجوم متعلق بهذا النموذج التجسسي لتطبيق واتساب عبر أكثر من مئة دولة. وقارنت كاسبرسكي بين ملفات التطبيق الأصلي وملفات التطبيقات المعدلة، ووجدت فروقًا كبيرة في الوظائف بين النسختين الأصلية والمعدلة، ويمكن ملاحظة ذلك من خلال حجم الملفات وتواقيت التعديل عليها الموضحة أدناه:
تعرض الصورة مقارنة بين نسختين من تطبيق واتساب، إحداهما مصابة ببرمجيات خبيثة والأخرى نظيفة. التواريخ الموجودة بجانب ملفات DEX وملف AndroidManifest.xml، تشير إلى متى تم تعديل أو إنشاء هذه الملفات. في النسخة المصابة، عدلت الملفات في تواريخ وأوقات مختلفة عن تلك الموجودة في النسخة النظيفة، مما يشير إلى وجود تلاعب أو إضافة مكونات ضارة. أما عمود "Packed" فيشير إلى حجم الملفات بعد ضغطها، ومقارنة أحجام الملفات بين النسختين تحدد اختلافات تسببت بها عمليات تلاعب ضارة.
تعليق شركة واتساب على النسخ المعدلة من التطبيق
تقول واتساب أنها تكافح التطبيقات المعدلة بجدية، إذ حظرت أرقام المستخدمين ممن يستعملونها من الخدمة. ومع ذلك، غالبًا ما تتجاوز هذه التطبيقات القيود وعمليات الرقابة لفترات طويلة قبل أن يتم اكتشافها وحظرها. يعمل مطورو هذه التطبيقات على تحديثها باستمرار لتجنب عمليات الرقابة التي تجريها الشركة الأم. توصي واتساب بشدة باستخدام تطبيقها الأصلي وتحميله من المتجر الرسمي فقط، وتحذّر من أن استخدام التطبيقات المعدلة قد يؤدي إلى سرقة بيانات المستخدمين وغيرها من الأضرار الأمنية.
تحليل مصادر توزيع نسخ واتساب المعدلة
نظرًا لتعذر رفع هذه التطبيقات على المتاجر الرسمية، يلجأ مطوروها لتوزيعها بين المستخدمين وخاصة في البلدان العربية على قنوات تليغرام مشفرة، أو مواقع ويب خارجية مجهولة الهوية.
هذه الطريقة تتيح لمطوري التطبيقات تجاوز قيود المتاجر الرسمية وعمليات الفحص الدقيقة للبرمجيات الضارة. تفشل قنوات تليغرام في كثير من الأحيان في إزالة البرامج الضارة، وتحقق التطبيقات المعدلة رغم خطورتها نسبة عالية من التنزيلات تصل لملايين المرات، كما هو موضح بالشكل:
إذا ما استثنينا توزيع التطبيقات على قنوات تليغرام، وراجعنا أحد المواقع الخارجية التي توزع هذه التطبيقات، سنجد أنه حقق أكثر من ثلاثة ملايين زيارة في الفترة ما بين مارس/آذار ومايو/أيار 2024. ولوحظ أن أربع دول عربية، وهي مصر، العراق، السعودية، والمغرب، كانت أعلى الدول من ناحية الوصول للموقع بعد تركيا.
فحص مسبار هوية خوادم المواقع التي توزع هذه التطبيقات على المستخدمين، ولاحظ إخفاء مطوريها لسجلات الموقع الأصلي لتفادي الرقابة على المحتوى، وهذا ما يزيد من احتمال تعامل هذه المواقع مع نشاط غير قانوني كزرع البرمجيات الخبيثة في التطبيقات المعدلة.
البرمجيات الخبيثة على تطبيق واتساب
بالرغم من أنّ هذا التحقيق يركز على النسخ المعدلة من واتساب، إلا أن هذه القنوات تطرح عدة برامج أخرى معدلة، لتشمل أغلب تطبيقات وسائل التواصل الاجتماعي بما فيها يوتيوب، والتي من المرجح أنها تحتوي أيضًا برمجيات ضارّة.
بيانات المستخدمين معروضة للبيع على قنوات تليغرام
لم يتوصل تحليلنا إلى دليل ملموس حول ما إذا كانت هناك عمليات استخدام غير مشروعة لبيانات المستخدمين قد حدثت في السابق. كما لم نستطيع تحديد كيفية استغلال مطوّري التطبيقات المعدلة لبيانات المستخدمين، سواءً كان ذلك عن طريق تسريبها أو بيعها أو تخزينها لأهداف تجارية آنية أو مستقبلية. ومع ذلك، اكتشفنا قدرة مطوّري التطبيقات على تنفيذ هذه الأنشطة، من الممكن أن غرضهم الأساسي من تضمين وحدات تجسس في التطبيقات المعدلة هو الوصول والتعامل غير المشروع لبيانات المستخدمين، مما يؤدي في النهاية إلى انتهاك الخصوصية.
من ناحية أخرى، كشف تحقيق مسبار في قنوات تليغرام عربية مشفرة، أن العديد منها تبيع البيانات الشخصية المسربة مقابل مبالغ مالية. طبيعة هذه البيانات تشير إلى أنها سُرقت من هواتف المستخدمين دون موافقتهم، إذ يظهر أن جزءًا كبيرًا منها لم يتم إرساله بإرادة المستخدم، بل سرق عن طريق الاختراق. ورغم أن تليغرام يحذف هذه القنوات بشكل دوري إلّا أن مشغليها ينشئون قنوات جديدة تحصل على عدد مشتركين كبير بسرعة قياسية.
كيف نتفادى أخطار التطبيقات المعدلة؟
نوصي باستخدام برامج المراسلة الفورية الرسمية فقط وتحميلها من المتاجر المرخصة مثل Google Play و App Store. إذا كنتم بحاجة إلى ميزات إضافية غير موجودة في التطبيقات الرسمية، وتفكرون في استخدام برامج معدلة، فقد يكون لذلك عواقب أمنية لذا ننصح باتخاذ الإجراءات التالية:
1. استخدام حل أمني موثوق: التأكد من تثبيت برنامج موثوق لمكافحة التهديدات الضارة، والذي يحتوي ميزات اكتشاف وحظر وحدات التجسس إذا كانت موجودة في التطبيق.
2. فحص الملف: قبل تثبيت أي تطبيق معدل، يجب فحص الملف باستخدام أداة تحليل المخاطر من VirusTotal، وأداة فحص التهديدات من كاسبرسكي. هذه الأدوات تتيح تحليل الملفات والروابط المشبوهة للكشف عن الفيروسات والبرامج الضارة.
3. الحذر من الروابط والمصادر غير الموثوقة: تجنب تنزيل التطبيقات من مصادر غير معروفة أو مشبوهة، حتى لو كانت تقدم ميزات مغرية.
4. متابعة التحديثات الأمنية: الحرص على تحديث نظام التشغيل باستمرار للحصول على أحدث التحسينات والتحديثات الأمنية التي تساعد في حماية الجهاز من التهديدات الجديدة.
رغم أن ذلك لا يضمن حماية كاملة إلا أنه باتباع هذه الخطوات، يمكن تقليل المخاطر المرتبطة باستخدام التطبيقات المعدلة وحماية البيانات الشخصية.
اقرأ/ي أيضًا