حققت تطبيقات التجسس الوهمية ملايين التنزيلات. وهذا يدل على الكثير بشأن أمان جوجل و...
لا يوجد تطبيق يسمح لك بالاطلاع على سجل مكالمات شخص آخر. لم يكن هناك تطبيق كهذا قط، ومن شبه المؤكد أنه لن يكون هناك أبدًا - فشركات الاتصالات لا تكشف هذه البيانات، ولا يملك أي مطور برامج خارجي الصلاحيات اللازمة لاسترجاعها. هذا ليس مجالًا للشك؛ ببساطة، الأمر غير ممكن. ومع ذلك، قام 7.3 مليون شخص، وفقًا لموقع welivesecurity ، بتنزيل تطبيقات تدّعي القيام بذلك تحديدًا.
أمضى باحثو الأمن في شركة ESET شهورًا في كشف خبايا مجموعة واسعة من 28 تطبيقًا احتياليًا لنظام أندرويد، أطلقوا عليها مجتمعةً اسم CallPhantom. تعد هذه التطبيقات المستخدمين بالاطلاع على أنشطة أي هاتف: سجلات المكالمات، وسجلات الرسائل النصية، وحتى سجل محادثات واتساب. كل ما عليك فعله هو إدخال رقم هاتف، ودفع مبلغ زهيد، ليُفترض أن تُكشف لك أسرار الشخص الذي تبحث عنه. لكن ما ظهر في الواقع كان مجرد وهم - أرقام هواتف عشوائية مُزينة بأسماء وأوقات مُبرمجة مسبقًا، مُولّدة بواسطة التطبيق نفسه، ومُصممة لتبدو مُقنعة بما يكفي لتبدو حقيقية. يكمن السر في أن المستخدمين لم يروا هذه البيانات المزيفة إلا بعد دفعهم المبلغ. لم يكن هذا الترتيب عشوائيًا.
كان متجر جوجل بلاي يعاني من نقطة ضعف خطيرة هنا
بقيت جميع التطبيقات الـ 28 على متجر جوجل بلاي لفترة كافية لتجميع ملايين التنزيلات. نُشر أحدها تحت اسم "Indian gov.in"، وهو اسم مطوّر يوحي بشرعية حكومية لا يحق له ادعاؤها. احتوت العديد من هذه التطبيقات على أقسام تقييمات مليئة بمستخدمين يكتبون صراحةً أنهم تعرضوا للاحتيال، وتزامنت هذه التحذيرات مع مجموعات من التقييمات الإيجابية المتحمسة من فئة الخمس نجوم التي أبقت التقييمات تبدو محترمة.
أبلغت شركة ESET جوجل عن المجموعة الكاملة من التطبيقات الخبيثة في ديسمبر 2025، وتمت إزالتها. إلا أن الإزالة جاءت بناءً على تقرير خارجي، وليس نتيجة اكتشاف جوجل لها بنفسها. بالنسبة لمنصة استثمرت بكثافة في الكشف الآلي عن التهديدات وإطار عمل تحالف الدفاع عن التطبيقات، فإن السماح لـ 28 نسخة مختلفة من نفس عملية الاحتيال - جميعها تعد بنفس الميزة المستحيلة تقنيًا - بحصد ملايين التنزيلات يُعدّ ثغرة كبيرة.
زادت بعض التطبيقات الوضع سوءًا بتجاوزها الكامل لبنية جوجل التحتية للدفع، حيث تُحوّل المستخدمين إلى معاملات UPI تابعة لجهات خارجية أو إلى حقول إدخال بيانات البطاقة المدمجة في التطبيق. يُعدّ هذا انتهاكًا لسياسة متجر Play، ولكنه يعني أيضًا أن جوجل لا تستطيع ردّ الأموال لهؤلاء المستخدمين. على كل من دفع خارج نظام الفوترة الرسمي أن يُلاحق مزوّد خدمة الدفع بنفسه، أو المطورين، الذين من البديهي أنهم ليسوا متحمسين للمساعدة.
نجحت التطبيقات لأن عرضها كان لا يُقاوم
الجزء الأكثر إزعاجًا في هذه القصة هو ما دفع 7.3 مليون عملية تنزيل في المقام الأول. لم تُقدّم هذه التطبيقات مساحة تخزين سحابية أو طريقة جديدة لتعديل الصور، بل قدّمت شيئًا يرغب فيه الناس بشدة لدرجة أنهم مستعدون للدفع مقابله: القدرة على التجسس على شخص ما - شريك، أو حبيب سابق، أو مراهق، أو حتى شريك عمل. ومهما كان السبب، فمن الواضح أن هناك جمهورًا كبيرًا ومستعدًا لتقبّل هذه الفكرة.
استغلت التطبيقات هذه الرغبة بدقة متناهية. فقد اختارت رمز الدولة +91 للهند افتراضيًا، ودعمت مدفوعات UPI، مما يدل على فهم المحتالين الجيد لجمهورهم المستهدف. وتراوحت باقات الاشتراك من بضعة يورو أسبوعيًا إلى 80 دولارًا سنويًا، مما منح المستخدمين خيارات بدت وكأنها خدمة شرعية وتلبي احتياجات مختلفة. أحد التطبيقات، عندما حاول المستخدم الخروج دون دفع، أرسل إشعارًا وهميًا مصممًا ليبدو كرسالة بريد إلكتروني وصلت للتو بالنتائج - محاولة يائسة أخيرة تعيده مباشرة إلى صفحة الدفع.
نجحت هذه الطريقة لأن الفضول قوة جبارة، وقد صُممت التطبيقات من قِبل أشخاص أدركوا ذلك. إذا أزلنا البنية التقنية، فسنجد أنفسنا أمام عملية احتيال قديمة: نفرض رسومًا على شخص ما مقابل شيء يريده بشدة، ونقدم له شيئًا يبدو معقولًا ولكنه لا قيمة له، ونعتمد على شعوره بالحرج لكي لا يشتكي بصوت عالٍ.
بالنسبة لمن واجهوا هذه المشكلة، يمكن إلغاء الاشتراكات التي تمت معالجتها عبر نظام جوجل بلاي الرسمي، وربما استرداد قيمتها، من خلال إعدادات الدفع في متجر بلاي. أما في الحالات الأخرى، فيُفضّل التواصل مع الجهة التي قامت بمعالجة الدفع.