28 تطبيق مزور ديال سجل المكالمات فـ Google Play Store صيدو 7.3 مليون مستخدم

الخلاصة — باحثين أمنيين من ESET كتاشفو 28 تطبيق مزور ديال سجل المكالمات فـ Google Play Store، اللي جمعو كثر من 7.3 مليون تحميل قبل ما يتحيدو. هاد التطبيقات كانو كيفرضو على المستخدمين يخلصو باش يشوفو سجلات مكالمات و SMS وهمية، بتكلفة اشتراك كتتراوح بين 6 و 80 دولار تقريبا. طرق الدفع شملات النظام الرسمي ديال Google Play وتطبيقات UPI خارجية اللي معروفة فالهند، فين كانت الحملة مستهدفة المستخدمين بشكل أساسي.

شنو وقع

بين نونبر 2025 ووقت النشر، واحد الحملة سماوها ESET بـ CallPhantom نشرات تطبيقات Android مزورة عن طريق Play Store الرسمي ديال Google. هاد 28 تطبيق شاركو فواحد الخدعة: كانو كيداعيو بلي كيقدرو يجبدو سجلات المكالمات، رسائل SMS، وسجلات مكالمات WhatsApp ديال أي رقم تليفون، ولكن فاش كيخلص المستخدم، كيعطيوه غير بيانات وهمية مولدة عشوائيا.

تطبيق واحد من هاد 28 جمع بوحدو كثر من 3 مليون تحميل قبل ما يتحذف. وكاين على الأقل تطبيق واحد تنشر بسميت مطور "Indian gov.in" باش يبني مصداقية مزيفة عند الضحايا المحتملين.

طريقة النصب كانت خدامة بزاف ديال الأشكال. فالشكل الأول، كيطلبو من المستخدمين يخلصو باش يشوفو التفاصيل. فالثاني، المستخدمين كيدخلو البريد الإلكتروني ديالهم وكيوصلهم إشعار مخادع كيقول بلي البيانات اللي طلبوها تصيفطات، وهادشي كيخليهم يكليكو باش يمشيو لشاشة الاشتراك. الشكل الثالث كيبين إشعار مزور فاش كيسدو التطبيق، كيكذب عليهم وكيقول بلي بيانات سجل المكالمات تصيفطات بنجاح للبريد الإلكتروني ديالهم.

الخلاص كان كيدوز عبر ثلاثة ديال القنوات: نظام الفوترة الرسمي ديال الاشتراكات فـ Google Play Store، وتطبيقات UPI خارجية بحال Google Pay، PhonePe، و Paytm، بالإضافة لنماذج ديال بطاقات الدفع المدمجة مباشرة فالتطبيقات. هاد جوج طرق اللخرين كيعتابرو خرق للسياسة ديال Google. تكاليف الاشتراك كانت بين 6 و 80 دولار تقريبا على حساب التطبيق.

واحد الجانب مهم فالحملة ديال CallPhantom هو داكشي اللي مادارتوش. هاد التطبيقات ما طلبو حتى شي صلاحيات حساسة، وما فيهم حتى شي وظيفة حقيقية باش يجبدو بيانات المكالمات، ولا SMS، ولا WhatsApp. البيانات الوهمية كانت hardcoded مباشرة فـ source code ديالهم.

علاش هادشي مهم

بالنسبة لمستخدمي Android فمنطقة الشرق الأوسط وشمال إفريقيا (MENA) والهند، هاد الحملة كتبين بلي كاينة فجوة مستمرة بين عمليات المراجعة ديال Google Play Store والهجمات المعقدة ديال الهندسة الاجتماعية. الحجم ديال العملية — 7.3 مليون تحميل — كيشير بلي التقنيات ديال بناء المصداقية (بحال انتحال صفة نطاقات حكومية) وواجهات المستخدم البسيطة قادرة تتجاوز المراقبة بواحد النطاق واسع.

بالنسبة لأي مطور ومسؤول نظام، هاد الحملة كتوضح المخاطر ديال إدماج عمليات الدفع اللي مافيهاش تطبيق صارم لـ API. الاستغلال ديال تطبيقات دفع مشروعة بحال PhonePe و Paytm كيبين بلي هاد الخدمات الخارجية تعرضات للاستغلال، ماشي كان فيها شي خلل.

بالنسبة لمحللي SOC وفرق مكافحة الاحتيال، النشاط ديال CallPhantom كيتقاطع مع بيئة أوسع عندها دوافع مالية. Group-IB ربطات هاد الحملة بـ GoldFactory، وهيا مجموعة ديال فاعل التهديد بدات العمليات ديالها فيوليوز 2025 وسرقات ما يقدر بـ 2 مليون دولار من المستخدمين فإندونيسيا من خلال حملات انتحلات صفة CoreTax وخدمات أخرى موثوقة. نفس البنية التحتية كتستغل كثر من 16 علامة تجارية موثوقة. سلسلة الهجوم ديال GoldFactory كتجمع بين مواقع ديال تصيد (phishing)، والهندسة الاجتماعية عبر WhatsApp، وتنزيل ملفات APK خبيثة من خارج المتجر (sideloading)، و تصيد (phishing) صوتي (vishing)، وهادشي باش ينشرو برمجيات خبيثة ديال Android بحال Gigabud RAT، MMRat، و Taotie لاختراق الأجهزة والسرقة المالية.

الأنظمة المتضررة و CVEs

• Google Play Store (قناة التوزيع)
• نظام التشغيل Android (المنصة المستهدفة)
• Google Pay (طريقة دفع تم استغلالها)
• PhonePe (طريقة دفع تم استغلالها)
• Paytm (طريقة دفع تم استغلالها)

ما كاين حتى شي CVE مخصص فمرحلة النشر.

شنو خاصنا نديرو

• تأكد وحيّد: قلب فجهازك واش كاين شي واحد من هاد 28 تطبيق المذكورة. التقرير ديال ESET فيه اللائحة الكاملة ديال package names. إلى لقيتيهم، حيدهم ديك الساعة.

• طلب استرجاع الفلوس عبر Google Play: المستخدمين اللي اشتركو عن طريق النظام الرسمي ديال الفوترة فـ Google Play Store يقدرو يكونو مؤهلين لاسترجاع فلوسهم بموجب سياسات الاسترجاع ديال Google. دخل لإعدادات حساب Play Store ديالك وراجع تاريخ المشتريات.

• تواصل مع مزودي الدفع: المشتريات اللي تدارت عبر تطبيقات UPI الخارجية (Google Pay، PhonePe، Paytm) ولا النماذج المباشرة ديال البطاقات، ما تقدرش Google ترددها لك. تواصل مباشرة مع مزود الدفع المعني أو البنك ديال بطاقتك.

• إلغاء الاشتراكات: إلى تحذف التطبيق من جهازك ولكن الاشتراك باقي خدام، لغيه من حساب Google Play ديالك أو من تطبيق الدفع الخارجي اللي استخدمتيه.

• راقب الحسابات المالية: راجع الكشوفات ديال البنكة وتطبيقات الدفع باش تتأكد بلي ماكاينش تحويلات ما مرخصاش. النصابة يقدرو يحاولو يسيطرو على الحسابات باستخدام البيانات اللي جمعوها.

• تجنب sideloading: ما تانستاليش ملفات APK من مصادر ما موثوقاش، خصوصا دوك اللي كيتنتاشرو عبر WhatsApp ولا البريد الإلكتروني، حيت البنية التحتية ديال GoldFactory كتستغل هاد الطريقة باش تنشر البرمجيات الخبيثة.

أسئلة باقة مطروحة

• المصدر ما حددش الخسائر المالية الإجمالية من الحملة ديال CallPhantom.
• العدد الدقيق ديال المستخدمين المتضررين ما معلنش عليه.
• هوية أي مطور مور هاد 28 تطبيق باقة مجهولة.
• باقي ما مؤكدش واش تم الحذف ديال 28 تطبيق كاملين أو واش باقين نسخ أخرى ديالهم فـ Play Store.
• نسبة النجاح ديال طلبات استرجاع الأموال من خلال Google Play Store لهاد التطبيقات بالضبط ما موثقاش.
• المصدر ما وضحش شنو هما نسخ Android اللي كانت مستهدفة أو واش النسخ القديمة كانت معرضة لخطر كبر.

Source

Fake Call History Apps Stole Payments From Users After 7.3 Million Play Store Downloads