تشريح الهجوم: من SparkCat إلى تطور "غير المرئي" SparkKitty
في 23 يونيو 2025، كشف فريق أبحاث التهديدات في كاسبيرسكي عن SparkKitty لأول مرة، واصفًا إياها بأنها "برمجية خبيثة من نوع سرقة الصور عالية التخفّي". يرتبط الفيروس ببرمجية SparkCat الخبيثة التي تم اكتشافها في أوائل عام 2024، حيث تشترك في بنية الشيفرة وأساليب الهجوم المماثلة، لكن التقنية أكثر تقدمًا. أشار محللو كاسبيرسكي إلى أن أنشطة SparkKitty يمكن تتبعها إلى فبراير 2024، حيث كانت تستهدف بشكل أساسي دول جنوب شرق آسيا والصين، من خلال التظاهر بأنها تطبيقات للعملات المشفرة، والمقامرة، والاتصالات، لتتسلل إلى أجهزة المستخدمين.
الهدف الأساسي لـ SparkKitty هو سرقة جميع الصور من الألبوم، مع التركيز على لقطات الشاشة لعبارات الاسترداد (seed phrases) لمحافظ العملات المشفرة. تعتبر عبارات الاسترداد الدليل الوحيد لاستعادة محفظة التشفير، وبمجرد تسريبها، يمكن للمهاجم السيطرة مباشرة على محفظة المستخدم، وتحويل جميع الأصول. بالمقارنة مع SparkCat، فإن تقنية التعرف الضوئي على الحروف (OCR) في SparkKitty أكثر كفاءة، حيث تستخدم بعض المتغيرات Google ML Kit OCR، مما يتيح رفع الصور التي تحتوي على نص فقط، مما يقلل من عبء خادم التحميل ويزيد من كفاءة السرقة. بالإضافة إلى ذلك، يقوم الفيروس أيضًا بجمع معرّفات الأجهزة وملفات تعريف الارتباط الخاصة بالمتصفح والبيانات الحساسة الأخرى، مما يزيد من مخاطر سرقة الهوية واختراق الحسابات.
اختراق حديقة الأسوار: كيف أصبحت المتاجر الرسمية أكبر نقطة هجوم؟
أكثر ما يثير الانتباه في SparkKitty هو أنه تمكن من اختراق قنوات توزيع التطبيقات التي تعتبر الأكثر أمانًا - متجر Apple للتطبيقات وGoogle Play.
آلية مراجعة متاجر التطبيقات الرسمية تبدو غير فعالة في هذه الحرب الدفاعية والهجومية. يستغل المهاجمون استراتيجية "حصان طروادة" لتخفي التعليمات البرمجية الضارة في تطبيقات تبدو غير ضارة:
فقدان السيطرة على متجر التطبيقات: تم إطلاق تطبيق يسمى "币coin" والذي يتنكر بواجهة بسيطة لتتبع أسعار العملات المشفرة. يستغل ثقة المستخدمين في أدوات السوق لإغرائهم بمنح إذن الوصول إلى الألبوم.
منطقة الكارثة في Google Play: تطبيق المراسلة المعروف باسم "SOEX"، الذي يزعم أنه يقدم ميزات "الدردشة والتداول المشفرة"، بلغ عدد تنزيلاته أكثر من 10,000 مرة. بالإضافة إلى ذلك، تم التأكيد على أن تطبيقات القمار وألعاب البالغين هي أيضًا وسائط مهمة لنشرها. وفقًا للإحصائيات، منذ فترة SparkCat حتى الآن، بلغ العدد الإجمالي لتنزيل التطبيقات الضارة ذات الصلة على Google Play أكثر من 242,000 مرة.
بالإضافة إلى القنوات الرسمية، استخدم المهاجمون أيضًا مصفوفة انتشار متعددة الأبعاد:
توزيع APK غير الرسمي: توزيع حزم تثبيت APK المتنكرة في شكل نسخة مقرصنة من TikTok أو ألعاب سلسلة شائعة أو تطبيقات قمار من خلال إعلانات YouTube ومجموعات Telegram ومواقع التحميل التابعة لجهات خارجية.
إساءة استخدام شهادات المؤسسات على iOS: استغلال برنامج مطوري الشركات من أبل، لتجاوز المراجعة الصارمة لمتجر التطبيقات، وتثبيت التطبيقات مباشرة على أجهزة المستخدمين عبر روابط الويب.
تُغلف طلبات الأذونات (مثل الوصول إلى الألبوم) لهذه التطبيقات عند التثبيت والتشغيل غالبًا كاحتياجات أساسية لتلك التطبيقات، مما يجعل المستخدمين يمنحون الأذونات دون وعي، وبالتالي يسمحون بدخول المتطفلين.
آلاف الضحايا، الأصول صفر: هجوم مفاجئ "محلي" يستهدف السوق الآسيوية
تعتبر سوق جنوب شرق آسيا والصين الهدف الرئيسي لـ SparkKitty. وهذا ليس مصادفة، بل هو استراتيجية "التوطين" المدروسة بعناية:
صورة دقيقة للمستخدمين: هذه المناطق هي أسواق نشطة للغاية لتطبيقات العملات المشفرة والمراهنات المحمولة، حيث يوجد عدد كبير من المستخدمين ووعي أمني ضعيف نسبيًا.
الفخاخ الثقافية واللغوية: أسماء التطبيقات (مثل "币coin")، وتصميم الواجهة، ونصوص الدعاية كلها تستخدم اللغة المحلية، وحتى تضمين عناصر من ألعاب المقامرة الشعبية المحلية، مما يقلل بشكل كبير من حذر المستخدمين.
على الرغم من أن الهجوم مركز في آسيا، إلا أن كاسبرسكي حذر من أن SparkKitty ليس له حدود تقنية، حيث يمكن تعديل شفرته بسهولة لاستهداف مستخدمين في أي منطقة في العالم. على X (تويتر سابقًا)، أطلق خبراء الأمن وكبار الشخصيات في مجال التشفير تحذيرات جماعية، داعين المستخدمين إلى إجراء فحص ذاتي، حيث تنتشر حالة من الذعر في مجتمع التشفير العالمي. إن خطره متعدد الطبقات:
تتبدد الأصول على الفور: عبارة الاسترداد هي المفتاح الوحيد لاستعادة المحفظة. بمجرد تسريبها، يمكن للمهاجمين نقل جميع الأصول المشفرة للمستخدم في غضون دقائق، ومن شبه المستحيل استعادتها.
الخصوصية مكشوفة تمامًا: قد تحتوي الألبومات على كميات هائلة من المعلومات الخاصة مثل بطاقات الهوية، جوازات السفر، بطاقات الائتمان، وصور العائلة، وإذا تم استغلالها من قبل الأنشطة الإجرامية، ستكون العواقب وخيمة.
حسابات السلسلة: قد تؤدي ملفات تعريف الارتباط والشهادات المسروقة إلى استيلاء المستخدمين على حسابات وسائل التواصل الاجتماعي والبريد الإلكتروني وحتى الحسابات المصرفية.
تفكير عميق: عندما تصبح لقطة كلمة المرور "كعب أخيل"
الجهة المنصة تعمل على ذلك. قامت Google بإزالة التطبيقات ذات الصلة، كما قامت Apple سابقًا بحظر ما يقرب من مئة حساب مطور بسبب حادثة SparkCat. لكن هذا يبدو أكثر مثل لعبة "ضرب المطارق" التي لا تنتهي. طالما أن المهاجمين يمكنهم باستمرار العثور على ثغرات في آلية المراجعة، ستظهر "أحصنة طروادة" جديدة بلا توقف.
أحداث SparkKitty دقت ناقوس الخطر للصناعة بأكملها، حيث كشفت عن عدة مأزق عميقة:
أزمة ثقة متجر التطبيقات: لقد تحطمت خرافة المستخدمين حول "أمان مطلق" المتاجر الرسمية. يحتاج مقدمو المنصات إلى إدخال آليات كشف سلوك ديناميكية أكثر نشاطًا وذكاءً، بدلاً من الاعتماد فقط على مسح الشيفرة الثابتة.
الصراع الأبدي بين عادات المستخدم والأمان: من أجل الراحة، يميل المستخدمون إلى استخدام أبسط الطرق - لقطة الشاشة - لنسخ أهم بياناتهم. هذه السلوكيات هي في الواقع الحلقة الأضعف في نظام الأمان.
مأزق "آخر كيلومتر" من الأمان المشفر: بغض النظر عن مدى أمان محافظ الأجهزة، أو مدى لامركزية بروتوكولات DeFi، طالما أن المستخدم يرتكب خطأ في إدارة الكلمات المساعدة في هذا "آخر كيلومتر"، ستصبح جميع الدفاعات بلا جدوى.
كيف تحمي نفسك؟ بدلاً من انتظار حدوث الكارثة، من الأفضل الاستعداد مسبقًا.
استئصال العادات السيئة، النسخ الاحتياطي الفيزيائي: التخلي تمامًا عن عادة استخدام الألبومات أو الملاحظات أو أي خدمات سحابية متصلة لتخزين كلمات المرور. العودة إلى الطريقة الأكثر بدائية وأمانًا: النسخ الاحتياطي الفيزيائي المكتوب يدويًا، وتخزينه في مواقع آمنة في أماكن مختلفة.
مبدأ الحد الأدنى من الامتيازات: احرس أذونات هاتفك كما لو كنت بخلًا. يجب رفض أي طلبات للوصول إلى الألبومات أو جهات الاتصال أو الموقع غير الضرورية.
إنشاء بيئة "غرفة نظيفة": النظر في استخدام هاتف قديم مخصص ومعزول عن الشبكة لإدارة الأصول المشفرة، وعدم تثبيت أي تطبيقات غير معروفة المصدر.
قد يتم القضاء على SparkKitty، لكن "Kitty" التالي قيد الإعداد بالفعل. تذكّرنا هذه الهجمة أن أمان عالم Web3 ليس مجرد حرب على الشيفرات والبروتوكولات، بل هو صراع مستمر حول الإنسانية والعادات والإدراك. الحفاظ على اليقظة في مواجهة الراحة المطلقة هو درس يجب على كل مواطن رقمي تعلمه.
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
هل تحولت المتجر الرسمي إلى "حصان طروادة"؟ كشف النقاب عن SparkKitty: حملة دقيقة ضد عبارة تذكيرية الألبوم
تشريح الهجوم: من SparkCat إلى تطور "غير المرئي" SparkKitty
في 23 يونيو 2025، كشف فريق أبحاث التهديدات في كاسبيرسكي عن SparkKitty لأول مرة، واصفًا إياها بأنها "برمجية خبيثة من نوع سرقة الصور عالية التخفّي". يرتبط الفيروس ببرمجية SparkCat الخبيثة التي تم اكتشافها في أوائل عام 2024، حيث تشترك في بنية الشيفرة وأساليب الهجوم المماثلة، لكن التقنية أكثر تقدمًا. أشار محللو كاسبيرسكي إلى أن أنشطة SparkKitty يمكن تتبعها إلى فبراير 2024، حيث كانت تستهدف بشكل أساسي دول جنوب شرق آسيا والصين، من خلال التظاهر بأنها تطبيقات للعملات المشفرة، والمقامرة، والاتصالات، لتتسلل إلى أجهزة المستخدمين.
الهدف الأساسي لـ SparkKitty هو سرقة جميع الصور من الألبوم، مع التركيز على لقطات الشاشة لعبارات الاسترداد (seed phrases) لمحافظ العملات المشفرة. تعتبر عبارات الاسترداد الدليل الوحيد لاستعادة محفظة التشفير، وبمجرد تسريبها، يمكن للمهاجم السيطرة مباشرة على محفظة المستخدم، وتحويل جميع الأصول. بالمقارنة مع SparkCat، فإن تقنية التعرف الضوئي على الحروف (OCR) في SparkKitty أكثر كفاءة، حيث تستخدم بعض المتغيرات Google ML Kit OCR، مما يتيح رفع الصور التي تحتوي على نص فقط، مما يقلل من عبء خادم التحميل ويزيد من كفاءة السرقة. بالإضافة إلى ذلك، يقوم الفيروس أيضًا بجمع معرّفات الأجهزة وملفات تعريف الارتباط الخاصة بالمتصفح والبيانات الحساسة الأخرى، مما يزيد من مخاطر سرقة الهوية واختراق الحسابات.
اختراق حديقة الأسوار: كيف أصبحت المتاجر الرسمية أكبر نقطة هجوم؟
أكثر ما يثير الانتباه في SparkKitty هو أنه تمكن من اختراق قنوات توزيع التطبيقات التي تعتبر الأكثر أمانًا - متجر Apple للتطبيقات وGoogle Play.
آلية مراجعة متاجر التطبيقات الرسمية تبدو غير فعالة في هذه الحرب الدفاعية والهجومية. يستغل المهاجمون استراتيجية "حصان طروادة" لتخفي التعليمات البرمجية الضارة في تطبيقات تبدو غير ضارة:
فقدان السيطرة على متجر التطبيقات: تم إطلاق تطبيق يسمى "币coin" والذي يتنكر بواجهة بسيطة لتتبع أسعار العملات المشفرة. يستغل ثقة المستخدمين في أدوات السوق لإغرائهم بمنح إذن الوصول إلى الألبوم.
منطقة الكارثة في Google Play: تطبيق المراسلة المعروف باسم "SOEX"، الذي يزعم أنه يقدم ميزات "الدردشة والتداول المشفرة"، بلغ عدد تنزيلاته أكثر من 10,000 مرة. بالإضافة إلى ذلك، تم التأكيد على أن تطبيقات القمار وألعاب البالغين هي أيضًا وسائط مهمة لنشرها. وفقًا للإحصائيات، منذ فترة SparkCat حتى الآن، بلغ العدد الإجمالي لتنزيل التطبيقات الضارة ذات الصلة على Google Play أكثر من 242,000 مرة.
بالإضافة إلى القنوات الرسمية، استخدم المهاجمون أيضًا مصفوفة انتشار متعددة الأبعاد:
توزيع APK غير الرسمي: توزيع حزم تثبيت APK المتنكرة في شكل نسخة مقرصنة من TikTok أو ألعاب سلسلة شائعة أو تطبيقات قمار من خلال إعلانات YouTube ومجموعات Telegram ومواقع التحميل التابعة لجهات خارجية.
إساءة استخدام شهادات المؤسسات على iOS: استغلال برنامج مطوري الشركات من أبل، لتجاوز المراجعة الصارمة لمتجر التطبيقات، وتثبيت التطبيقات مباشرة على أجهزة المستخدمين عبر روابط الويب.
تُغلف طلبات الأذونات (مثل الوصول إلى الألبوم) لهذه التطبيقات عند التثبيت والتشغيل غالبًا كاحتياجات أساسية لتلك التطبيقات، مما يجعل المستخدمين يمنحون الأذونات دون وعي، وبالتالي يسمحون بدخول المتطفلين.
آلاف الضحايا، الأصول صفر: هجوم مفاجئ "محلي" يستهدف السوق الآسيوية
تعتبر سوق جنوب شرق آسيا والصين الهدف الرئيسي لـ SparkKitty. وهذا ليس مصادفة، بل هو استراتيجية "التوطين" المدروسة بعناية:
صورة دقيقة للمستخدمين: هذه المناطق هي أسواق نشطة للغاية لتطبيقات العملات المشفرة والمراهنات المحمولة، حيث يوجد عدد كبير من المستخدمين ووعي أمني ضعيف نسبيًا.
الفخاخ الثقافية واللغوية: أسماء التطبيقات (مثل "币coin")، وتصميم الواجهة، ونصوص الدعاية كلها تستخدم اللغة المحلية، وحتى تضمين عناصر من ألعاب المقامرة الشعبية المحلية، مما يقلل بشكل كبير من حذر المستخدمين.
على الرغم من أن الهجوم مركز في آسيا، إلا أن كاسبرسكي حذر من أن SparkKitty ليس له حدود تقنية، حيث يمكن تعديل شفرته بسهولة لاستهداف مستخدمين في أي منطقة في العالم. على X (تويتر سابقًا)، أطلق خبراء الأمن وكبار الشخصيات في مجال التشفير تحذيرات جماعية، داعين المستخدمين إلى إجراء فحص ذاتي، حيث تنتشر حالة من الذعر في مجتمع التشفير العالمي. إن خطره متعدد الطبقات:
تتبدد الأصول على الفور: عبارة الاسترداد هي المفتاح الوحيد لاستعادة المحفظة. بمجرد تسريبها، يمكن للمهاجمين نقل جميع الأصول المشفرة للمستخدم في غضون دقائق، ومن شبه المستحيل استعادتها.
الخصوصية مكشوفة تمامًا: قد تحتوي الألبومات على كميات هائلة من المعلومات الخاصة مثل بطاقات الهوية، جوازات السفر، بطاقات الائتمان، وصور العائلة، وإذا تم استغلالها من قبل الأنشطة الإجرامية، ستكون العواقب وخيمة.
حسابات السلسلة: قد تؤدي ملفات تعريف الارتباط والشهادات المسروقة إلى استيلاء المستخدمين على حسابات وسائل التواصل الاجتماعي والبريد الإلكتروني وحتى الحسابات المصرفية.
تفكير عميق: عندما تصبح لقطة كلمة المرور "كعب أخيل"
الجهة المنصة تعمل على ذلك. قامت Google بإزالة التطبيقات ذات الصلة، كما قامت Apple سابقًا بحظر ما يقرب من مئة حساب مطور بسبب حادثة SparkCat. لكن هذا يبدو أكثر مثل لعبة "ضرب المطارق" التي لا تنتهي. طالما أن المهاجمين يمكنهم باستمرار العثور على ثغرات في آلية المراجعة، ستظهر "أحصنة طروادة" جديدة بلا توقف.
أحداث SparkKitty دقت ناقوس الخطر للصناعة بأكملها، حيث كشفت عن عدة مأزق عميقة:
أزمة ثقة متجر التطبيقات: لقد تحطمت خرافة المستخدمين حول "أمان مطلق" المتاجر الرسمية. يحتاج مقدمو المنصات إلى إدخال آليات كشف سلوك ديناميكية أكثر نشاطًا وذكاءً، بدلاً من الاعتماد فقط على مسح الشيفرة الثابتة.
الصراع الأبدي بين عادات المستخدم والأمان: من أجل الراحة، يميل المستخدمون إلى استخدام أبسط الطرق - لقطة الشاشة - لنسخ أهم بياناتهم. هذه السلوكيات هي في الواقع الحلقة الأضعف في نظام الأمان.
مأزق "آخر كيلومتر" من الأمان المشفر: بغض النظر عن مدى أمان محافظ الأجهزة، أو مدى لامركزية بروتوكولات DeFi، طالما أن المستخدم يرتكب خطأ في إدارة الكلمات المساعدة في هذا "آخر كيلومتر"، ستصبح جميع الدفاعات بلا جدوى.
كيف تحمي نفسك؟ بدلاً من انتظار حدوث الكارثة، من الأفضل الاستعداد مسبقًا.
استئصال العادات السيئة، النسخ الاحتياطي الفيزيائي: التخلي تمامًا عن عادة استخدام الألبومات أو الملاحظات أو أي خدمات سحابية متصلة لتخزين كلمات المرور. العودة إلى الطريقة الأكثر بدائية وأمانًا: النسخ الاحتياطي الفيزيائي المكتوب يدويًا، وتخزينه في مواقع آمنة في أماكن مختلفة.
مبدأ الحد الأدنى من الامتيازات: احرس أذونات هاتفك كما لو كنت بخلًا. يجب رفض أي طلبات للوصول إلى الألبومات أو جهات الاتصال أو الموقع غير الضرورية.
إنشاء بيئة "غرفة نظيفة": النظر في استخدام هاتف قديم مخصص ومعزول عن الشبكة لإدارة الأصول المشفرة، وعدم تثبيت أي تطبيقات غير معروفة المصدر.
قد يتم القضاء على SparkKitty، لكن "Kitty" التالي قيد الإعداد بالفعل. تذكّرنا هذه الهجمة أن أمان عالم Web3 ليس مجرد حرب على الشيفرات والبروتوكولات، بل هو صراع مستمر حول الإنسانية والعادات والإدراك. الحفاظ على اليقظة في مواجهة الراحة المطلقة هو درس يجب على كل مواطن رقمي تعلمه.