تنقل نايلة الصليبي في "النشرة الرقمية"تحذيران أمنيان من برمجية خبيثة تحول الذكاء الاصطناعي لجاسوس على مستخدمي أندرويد، والكشف أيضا عن أجهزة أندرويد مفخخة ببرمجية خبيثة ،صينية المنشأ ، قبل حتى خروجها من المصنع.
الذكاء الاصطناعي في خدمة القراصنة
حذر تقرير من شركة الأمن السيبراني " ESET " من انتشار برمجية تجسس خبيثة تحمل اسم "PromptSpy" تستهدف مستخدمي نظام أندرويد، فهل سيقود الذكاء الاصطناعي الجيل المقبل من الهجمات الإلكترونية؟
يأتي هذا الكشف بعد أشهر قليلة من رصد أول نموذج أولي لبرمجيات فدية مدعومة بالذكاء الاصطناعي. ووفق تقرير ESET، فإن PromptSpy لا يهدف فقط إلى اختراق الأجهزة، بل إلى السيطرة الكاملة عليها وسرقة البيانات الحساسة، في مؤشر على تصاعد مستوى التعقيد والاحتراف في عالم البرمجيات الخبيثة.
أول برمجية خبيثة على أندرويد تعتمد الذكاء الاصطناعي التوليدي
يُعد PromptSpy أول برنامج ضار معروف يعمل على نظام أندرويد ويستفيد من الذكاء الاصطناعي التوليدي ضمن تدفّق تنفيذه. ويعتمد في ذلك على نموذج لغوي كبير (LLM) هو جيميناي من شركة غوغل، لكن ليس لتحديد أسلوب الاختراق أو نشر الحمولة الخبيثة، بل لضمان بقاء التطبيق نشطًا باستمرار على هاتف الضحية.
تكمن الفكرة في استخدام Gemini لتحليل شاشة الهاتف الملوث . فعلى الرغم من أن الذكاء الاصطناعي يشغل جزءًا صغيرًا من شيفرة البرنامج، إلا أن أثره استراتيجي للغاية. إذ يضمن بقاء التطبيق ضمن قائمة “التطبيقات المستخدمة مؤخرًا”، ما يمنع النظام من إغلاقه تلقائيًا بهدف توفير الموارد.
المشكلة التي تواجه البرمجيات الخبيثة عادةً أن طرق قفل التطبيقات تختلف من شركة مصنّعة إلى أخرى، ومن إصدار أندرويد إلى آخر، فضلًا عن تنوّع واجهات المستخدم. هذا التنوع يجعل الاعتماد على أوامر ثابتة أو سيناريوهات مبرمجة مسبقًا غير فعّال.
كيف يستفيد PromptSpy من نموذج الذكاء الاصطناعي التوليدي جيميناي ؟
يعتمد PromptSpy على إرسال وصف تفصيلي للشاشة الحالية إلى نموذج Gemini، يشمل النصوص المعروضة وطبيعة عناصر الواجهة ومواقعها. يقوم الذكاء الاصطناعي بتحليل هذه البيانات، ثم يرسل تعليمات دقيقة حول الأوامر المطلوبة، مثل النقر أو التمرير، مع تحديد الموقع الدقيق على الشاشة.
يحتفظ البرنامج بسجل لهذه التفاعلات، ما يسمح لـ Gemini بفهم السياق والتعلّم من كل خطوة. تتكرر العملية إلى أن يؤكد الذكاء الاصطناعي أن التطبيق قد أقفل بنجاح، وبذلك يضمن استمرارية عمل البرمجية الخبيثة.
سيطرة عن بُعد وقدرات تجسسية متقدمة
لا يقتصر هدف PromptSpy على البقاء نشطًا فقط، بل يسعى إلى فرض سيطرة كاملة عن بُعد على الجهاز المصاب. لتحقيق ذلك، يقوم بتثبيت وحدة VNC، وهي تقنية تُستخدم عادةً للمساعدة عن بُعد، تتيح للمهاجمين مشاهدة شاشة الهاتف والتفاعل معها في الزمن الحقيقي كما لو كان الجهاز بين أيديهم.
إلى جانب ذلك، يوفر البرنامج قدرات تجسسية خطيرة، تشمل التقاط كلمات المرور المدخلة على شاشة القفل، وتسجيل فيديو لنشاط الشاشة، بالإضافة إلى إعداد جرد كامل للتطبيقات المثبتة على الجهاز.
يشير تقرير ESET إلى أن توزيع PromptSpy تم عبر موقع ويب مصرفي مزيّف، وليس من خلال متجر غوغل بلاي وأن نطاق الحملة لا يزال محدودًا حتى الآن. ويرجّح الباحثون أن تكون هذه البرمجية بمثابة نموذج أولي أو إثبات مفهوم Proof of concept ، هدفه اختبار نهج جديد في التجسس الإلكتروني على أجهزة أندرويد .
قد لا يكون PromptSpy تهديدًا واسع الانتشار في الوقت الراهن، لكنه يقدّم لمحة واضحة عن مستقبل البرمجيات الخبيثة، حيث يصبح الذكاء الاصطناعي عنصرًا فاعلًا في تجاوز القيود التقنية والتكيّف مع البيئات المختلفة. مستقبل الأمن السيبراني، على ما يبدو، سيكون أكثر تعقيدً وأشد خطورة مع نماذج الذكاء الاصطناعي التوليدي
برنامج "Keenadu" الخبيث يهدد أجهزة أندرويد من داخل البرامج الثابتة كشفت شركة Kaspersky للأمن السيبراني عن برنامج خبيث متطور يُعرف بـ"Keenadu"، يستهدف أجهزة أندرويد عبر الاندماج مباشرةً في البرامج الثابتة لعدد من الأجهزة، مما يمنح مشغّليه سيطرةً شبه كاملة على الأجهزة المصابة.
يتوفر Keenadu في عدة أشكال توزيع؛ أخطرها النسخة المدمجة في البرامج الثابتة التي تُوزَّع عبر تحديثات OTA اللاسلكية. وإلى جانب ذلك، ينتشر من خلال أبواب خلفية أخرى، وتطبيقات النظام، وتطبيقات معدّلة من مصادر غير رسمية، بل وصل الأمر إلى اختراق متجر "غوغل بلاي" عبر تطبيقات كاميرات المنزل الذكي التي جمعت ما يزيد على 300,000 عملية تنزيل قبل إزالتها.
القدرات والخطورة
وصف باحثو شركة كاسبرسكي للأمن السيبراني البرنامج بأنه "باب خلفي يعمل بكامل طاقته"، إذ يخترق جميع التطبيقات المثبتة على الجهاز، ويثبّت تطبيقات APK دون علم المستخدم، ويمنحها أي أذونات يحتاج إليها. يمتد نشاطه ليشمل سرقة الوسائط والرسائل وبيانات الاعتماد المصرفية وبيانات الموقع الجغرافي، فضلاً عن مراقبة استعلامات البحث في برنامج التصفح كروم حتى في وضع التصفح الخفي.
هذا وتُعطِّل النسخة المدمجة نفسها تلقائياً في البرامج الثابتة إذا كانت لغة الجهاز أو منطقته الزمنية مرتبطة بالصين، كما تتوقف عن العمل في غياب خدمات غوغل بلاي، وهو ما يراه الباحثون مؤشراً محتملاً على مصدر البرنامج.على صعيد التأثير التقني، تمكّن Keenadu من اختراق مكتبة النظام الأساسية `libandroid_runtime.so`، مما يتيح له العمل في سياق كل تطبيق على الجهاز. وقد اكتشفه الباحثون مدمجاً في تطبيق التعرف على الوجه المستخدم لإلغاء قفل الشاشة والمصادقة، كما رصدوه في البرامج الثابتة لجهاز الكمبيوتر اللوحي Alldocube iPlay 50 mini Pro، حيث اعترفت الشركة لاحقاً بتعرضها لـ"هجوم فيروسي عبر أسلوب over-the-air عبر أبواب خلفية أخرى، مدمجة في تطبيقات النظام، وتطبيقات معدلة من مصادر غير رسمية، وحتى عبر تطبيقات متوفرة في متجر "غوغل بلاي".
إن كانت العمليات الحالية تتمحور حول الاحتيال الإعلاني بتشغيل نوافذ برنامج التصفح الخفية في الخلفية، فإن باحثي كاسبرسكي يحذرون من أن قدرات البرنامج تتجاوز ذلك بمراحل، وتُهيئه لعمليات تجسس واسعة النطاق.
الانتشار والتصنيف
حتى فبراير 2026، رُصد ما لا يقل عن 13,000 جهاز مصاب في روسيا واليابان، وألمانيا والبرازيل وهولندا. ويُصنّف الباحثون Keenadu ضمن عائلة التهديدات المشابهة لـ Triada، وهو برنامج خبيث اكتُشف سابقاً في هواتف أندرويد مزيفة منخفضة التكلفة.
التوصيات للوقاية
نظراً لتجذّر البرنامج في عمق البرنامج الثابت، يستحيل إزالته بأدوات أندرويد التقليدية. ويوصي خبراء أمن كاسبرسكي بالبحث عن إصدار نظيف من البرنامج الثابت وتثبيته، أو اللجوء إلى برامج ثابتة من جهات خارجية موثوقة مع مراعاة مخاطر عدم التوافق، فيما يبقى الخيار الأكثر أماناً استبدال الجهاز بآخر من علامات تجارية موثوقة ومعتمدة. وقد أكدت غوغل أنها أزالت جميع التطبيقات المرتبطة بهذا البرنامج الخبيث من متجر "غوغل بلاي" .
يمكن الاستماع لـ "بودكاست النشرة الرقمية" على مختلف منصات البودكاست. الرابط للبودكاست على منصة أبل
للتواصل مع نايلة الصليبي عبر صفحة برنامَج"النشرة الرقمية"من مونت كارلو الدولية على لينكد إن وعلى تويتر salibi@ وعلى ماستودون وبلوسكاي عبر موقع مونت كارلو الدولية مع تحيات نايلة الصليبي
