تحذير أمني عاجل: اكتشاف تطبيق خبيث على متجر جوجل بلاي يسرق بياناتك البنكية

تُمثل البرمجيات الخبيثة تهديداً أمنياً متزايداً في العصر الرقمي، حيث لم تعد تقتصر على أجهزة الكمبيوتر التقليدية، بل امتدت لتطال الهواتف المحمولة التي نعتمد عليها في أدق تفاصيل حياتنا اليومية. والمثير للقلق هو ظهور هذه التطبيقات الضارة أحياناً على منصات يُفترض أنها موثوقة مثل متجر "جوجل بلاي". في هذا التقرير، نسلط الضوء على نموذج خطير لتطبيق قارئ مستندات استُخدم كواجهة لبث برمجية خبيثة تستهدف الحسابات المصرفية للمستخدمين.

✅ اكتشاف برمجية "Anatsa" الخبيثة مخبأة داخل تطبيق "قارئ مستندات" تجاوزت تحميلاته 10 آلاف مرة.
✅ القدرة الفائقة للبرمجية على سرقة بيانات تسجيل الدخول البنكية وتسجيل ضربات المفاتيح.
✅ ضرورة الفحص اليدوي للهاتف وحذف حزمة التطبيق المحددة لضمان حماية البيانات الشخصية.

تحذير من تطبيق خبيث على أندرويد يسرق البيانات البنكية

ما هي برمجية Anatsa وكيف تخترق هواتف الأندرويد؟

كشف باحثو الأمن في مختبرات Zscaler ThreatLabz عن برمجية خبيثة متطورة تُعرف باسم Anatsa. هذه البرمجية تم رصدها داخل تطبيق مزيف يدعي العمل كقارئ للمستندات، وقد نجح في استقطاب أكثر من 10,000 عملية تحميل قبل أن تتحرك شركة جوجل لحذفه من متجرها. ومع ذلك، لا يزال الخطر قائماً بالنسبة للمستخدمين الذين قاموا بتثبيته مسبقاً وما زال موجوداً على هواتفهم.

تكمن الخطورة في أن التطبيق يبدو ظاهرياً كأداة مفيدة، وهو ما أكده خبراء Zscaler عبر حسابهم الرسمي على منصة إكس. وعلى الرغم من توصيتنا الدائمة بالاعتماد على تطبيقات أندرويد من المصادر الرسمية، إلا أن هذه الواقعة تثبت أن الحذر مطلوب حتى عند التعامل مع المتاجر الموثوقة.

ThreatLabz discovered another fake document reader in the Google Play Store with more than 10K downloads, which delivered the Anatsa Android trojan.

Anatsa installer SHA256 hash: 5c9b09819b196970a867b1d459f9053da38a6a2721f21264324e0a8ffef01e20
Payload URL:… pic.twitter.com/CBAgWfaa4n
— Zscaler ThreatLabz (@Threatlabz) April 27, 2026

حصان طروادة مصرفي يهدد أكثر من 800 مؤسسة مالية

تُصنف Anatsa كحصان طروادة مصرفي (Banking Trojan)، وهي مصممة خصيصاً لسرقة بيانات الاعتماد الحساسة، وتسجيل كل ما يكتبه المستخدم عبر ميزة تسجيل ضغطات المفاتيح، بل ويمكنها تنفيذ معاملات مالية احتيالية دون علم صاحب الهاتف. هذا يعني سيطرة كاملة على الأمن الرقمي للجهاز والوصول إلى كلمات المرور البنكية.

الجدير بالذكر أن هذه البرمجية ليست وليدة اليوم، فقد ظهرت لأول مرة في عام 2020، لكنها خضعت لتطويرات تقنية هائلة جعلت إصداراتها الأخيرة قادرة على استهداف أكثر من 800 مؤسسة مصرفية حول العالم، بما في ذلك منصات تداول العملات المشفرة الشهيرة.

التقنيات الخبيثة المستخدمة: كيف يخدع التطبيق نظام الحماية؟

استخدم التطبيق الخبيث، الذي حمل اسم الحزمة com.groundstation.informationcontrol.filestation_browsefiles_readdocs، تقنية تُسمى "Dropper". هذه التقنية تسمح للملف التنفيذي الضار بالبقاء خاملاً وغير مكتشف أثناء عملية فحص الأمان الأولية. وبمجرد أن يقوم المستخدم بتثبيت التطبيق واستخدامه كقارئ مستندات عادي، يبدأ البرنامج في إطلاق حمولته الخبيثة في الخلفية.

عند التشغيل، يطلب التطبيق أذونات وصول حساسة (Accessibility Services). وبمجرد منحها، يحصل على صلاحيات تتيح له عرض واجهات وهمية فوق التطبيقات الأصلية، واعتراض الرسائل النصية (SMS)، ورصد كافة أنشطة المستخدم، مما يسهل عملية سرقة البيانات والتدخل في عمل التطبيقات الأخرى بشكل صامت.

خطوات عملية لفحص هاتفك وإزالة التطبيق فوراً

لحماية نفسك من هذا التهديد، يجب عليك التأكد فوراً من عدم وجود هذا التطبيق على جهازك. حتى لو كان التطبيق يعمل بشكل طبيعي ويفتح الملفات، فقد يكون مصاباً بالبرمجية الضارة. اتبع الخطوات التالية للتخلص منه:

انتقل إلى إعدادات الهاتف ثم اختر التطبيقات.
استخدم محرك البحث داخل قائمة التطبيقات وابحث عن كلمات مثل "groundstation" أو "filestation".
إذا وجدت تطبيقاً يحمل المعرف المذكور أعلاه، قم بإلغاء تثبيته (Uninstall) فوراً.

زيارة حساب Zscaler ThreatLabz الرسمي

ما هو تطبيق Anatsa الخبيث وكيف يهدد مستخدمي أندرويد؟

هو حصان طروادة مصرفي يتخفى في هيئة تطبيقات خدمية مثل قارئ المستندات. يقوم بسرقة بيانات الحسابات البنكية، وكلمات المرور، ويمكنه التحكم في الجهاز لتنفيذ تحويلات مالية غير مصرح بها.

كيف يمكنني التعرف على التطبيق المصاب على هاتفي؟

يمكنك التعرف عليه من خلال اسم الحزمة البرمجية الخاص به وهو: com.groundstation.informationcontrol.filestation_browsefiles_readdocs. يظهر غالباً في قائمة التطبيقات تحت اسم "Document Reader" أو "FileStation".

هل حذف جوجل للتطبيق من المتجر يعني أنني في أمان؟

لا، حذف التطبيق من المتجر يمنع التحميلات الجديدة فقط. إذا كنت قد قمت بتحميله سابقاً، فسيظل موجوداً على هاتفك ويستمر في ممارسة نشاطه الخبيث حتى تقوم بحذفه يدوياً من إعدادات التطبيقات.

لماذا يطلب هذا التطبيق أذونات الوصول (Accessibility Services)؟

يطلب هذه الأذونات ليتمكن من قراءة ما يظهر على الشاشة، وتسجيل ما تكتبه، وتخطي إجراءات الأمان، مما يسمح له بمراقبة تطبيقاتك البنكية وسرقة بيانات الدخول الخاصة بك.

🔎 في الختام، تظل اليقظة هي خط الدفاع الأول ضد التهديدات السيبرانية المتطورة؛ لذا ننصح دائماً بمراجعة الأذونات التي تطلبها التطبيقات وتدقيق تقييمات المستخدمين قبل التثبيت، مع ضرورة إجراء فحص دوري للهاتف باستخدام برامج حماية موثوقة لضمان بقاء بياناتكم المالية والشخصية في مأمن من المتسللين.

وصف المدون

تابعنا على

القائمة العليا

تحذير أمني عاجل: اكتشاف تطبيق خبيث على متجر جوجل بلاي يسرق بياناتك البنكية – احذفه الآن