
في حملة تصيد احتيالي تعد من بين الأوسع نطاقًا في الفترة الأخيرة، تمكنت مختبرات الأبحاث والمعلومات الاستخباراتية التابعة لشركة Cyble من اكتشاف أكثر من 20 تطبيقًا خبيثًا تم تحميلها من خلال متجر قوقل بلاي “Google Play”، تستهدف مستخدمي محافظ العملات الرقمية، بهدف سرقة العبارات الاسترجاعية الخاصة بهم.
أكثر من 20 تطبيقًا خبيثًا على متجر Google Play تسرق العبارات الاسترجاعية لمحافظ العملات الرقمية

في هذه الصورة …تطبيق ضار ينتحل صفة محفظة Hyperliquid على متجر Google Play
أفادت مختبرات Cyble بأنها رصدت أكثر من 20 تطبيق تصيد احتيالي للعملات المشفرة على متجر Google Play. تنتحل هذه التطبيقات الخبيثة شخصية محافظ رقمية مشروعة مثل SushiSwap، PancakeSwap، Hyperliquid، وغيرها.
وتستخدم تقنيات التصيد الاحتيالي لسرقة العبارات الاسترجاعية الخاصة بالمستخدمين، والتي تُستخدم بعد ذلك للوصول إلى المحافظ الحقيقية وسحب أموال العملات المشفرة.
تم اكتشاف هذه التطبيقات بشكل تدريجي خلال الأسابيع الأخيرة، مما يعكس حملة مستمرة ونشطة. وفور اكتشافها، قامت Cyble بإبلاغ قوقل على الفور، مما أدى إلى إزالة معظمها من متجر Google Play.

في هذه الصورة … تطبيق ضار ينتحل صفة محفظة SushiSwap على متجر Google Play
ومع ذلك، لا تزال بعض هذه التطبيقات نشطة على المنصة وقت نشر هذا الخبر، وقد تم الإبلاغ عنها لإزالتها.
أنماط متسقة وتقنيات المهاجمين
لاحظت Cyble أن هذه التطبيقات الخبيثة تُظهر أنماطًا متسقة، مثل تضمين عناوين URL واستخدام أسماء حزم وأوصاف متشابهة. وعلى الرغم من هذه التشابهات، تُنشر التطبيقات تحت حسابات مطورين مختلفة.
تُشير البيانات إلى أن هذه الحسابات كانت تُستخدم في الأصل لتوزيع تطبيقات مشروعة، بما في ذلك ألعاب وتطبيقات تنزيل الفيديو والبث المباشر، وبعضها حصد أكثر من 100,000 عملية تنزيل. يُوحي هذا السلوك بأن هذه الحسابات القديمة للمطورين قد تم اختراقها ويتم استغلالها الآن لتوزيع التطبيقات الخبيثة.
تنقسم التطبيقات الخبيثة إلى نوعين رئيسيين:
- استخدام إطار عمل Median: لوحظ أن المهاجمين يستغلون إطار عمل Median لتطوير تطبيقات أندرويد. يُمكن هذا الإطار من تحويل مواقع الويب بسرعة إلى تطبيقات أندرويد. عند تحليل ملفات التكوين، وُجد أن عنوان URL للتصيد الاحتيالي “hxxps://pancakefentfloyd[.]cz/api.php” كان يُستخدم، وهو يطابق أيضًا عنوان URL لسياسة الخصوصية الخاصة بالتطبيق. يُؤدي هذا العنوان إلى موقع تصيد احتيالي مصمم خصيصًا لسرقة العبارات الاسترجاعية، ويتم تحميله داخل “WebView” في التطبيق، مُنتحلًا شخصية محفظة PancakeSwap الشرعية.
- تحميل عنوان URL للتصيد الاحتيالي مباشرة في WebView: في النوع الثاني من التطبيقات الخبيثة، يقوم المهاجم بتحميل موقع تصيد احتيالي مباشرة في “WebView” دون استخدام أي إطار عمل تطوير. يُفتح البرمجية الخبيثة عنوان URL “hxxps://piwalletblog[.]blog” داخل “WebView”، مُنتحلًا شخصية محفظة Raydium الشرعية، ويطلب من المستخدم إدخال عبارته المكونة من 12 كلمة.
كشف تحقيق معمق أن عنوان IP الخاص بالاستضافة “94.156.177[.]209” مُرتبط بأكثر من 50 نطاقًا للتصيد الاحتيالي، جميعها متصلة بحملة أوسع تهدف إلى سرقة عبارات الاستذكار من مستخدمي محافظ العملات المشفرة المختلفة.
تُنتحل هذه النطاقات خدمات العملات المشفرة المعروفة ومصممة ليتم تحميلها مباشرة داخل تطبيقات الهاتف المحمول باستخدام “WebView”، مما يجعل اكتشافها أكثر صعوبة.
إليكم أهم التوصيات
تُسلط هذه الحملة الضوء على عملية تصيد احتيالي منسقة جيدًا تستهدف قاعدة المستخدمين المتنامية لمحافظ العملات المشفرة. من خلال توزيع أكثر من 20 تطبيق أندرويد مزيف عبر متجر Google Play، ينتحل المهاجمون شخصية محافظ مشروعة لسرقة عبارات الاستذكار، وهي المفاتيح الأساسية للوصول إلى الأصول الرقمية للمستخدمين.
ما يجعل هذه الحملة خطيرة بشكل خاص هو استخدام تطبيقات تبدو مشروعة، مُستضافة تحت حسابات مطورين كانت حميدة سابقًا أو تم اختراقها، بالإضافة إلى بنية تحتية واسعة النطاق للتصيد الاحتيالي مرتبطة بأكثر من 50 نطاقًا. هذا لا يُوسع نطاق الحملة فحسب، بل يُقلل أيضًا من احتمالية الكشف الفوري بواسطة الدفاعات التقليدية.
إذا نجحت هذه الهجمات، فقد تُؤدي إلى خسائر مالية لا رجعة فيها للضحايا، خاصة وأن معاملات العملات المشفرة لا يمكن عكسها بسهولة أو حمايتها مثل المعاملات المصرفية التقليدية.
ومع استمرار نمو منظومة العملات المشفرة، يجب على المستخدمين أن يظلوا يقظين، ويجب على أصحاب المصلحة في المنظومة – بما في ذلك متاجر التطبيقات وبائعي الأمن والمطورين – اتخاذ تدابير استباقية لتحديد هذه التهديدات وحظرها والإبلاغ عنها بسرعة.
توصيات Cyble:
- تنزيل التطبيقات فقط من المطورين الموثوقين. التحقق من مراجعات التطبيق وتجنب التطبيقات التي تطلب معلومات حساسة مثل العبارات الاسترجاعية.
- استخدام حزمة برامج مكافحة الفيروسات وأمن الإنترنت ذات السمعة الطيبة على جميع الأجهزة المتصلة، بما في ذلك أجهزة الكمبيوتر الشخصية والمحمولة والأجهزة اللوحية والهواتف الذكية.
- إنشاء كلمات مرور قوية وتطبيق المصادقة متعددة العوامل (MFA) حيثما أمكن ذلك.
- تمكين ميزات الأمان البيومترية، مثل التعرف على بصمات الأصابع أو الوجه، لفتح قفل الجهاز المحمول.
- الحذر عند فتح أي روابط تُستقبل عبر الرسائل القصيرة أو رسائل البريد الإلكتروني التي تصل إلى الهاتف.
- التأكد من تفعيل Google Play Protect على أجهزة أندرويد.








