NoVoice: 2.3 مليون جهاز Android مُخترَق

نُشر في مايو 1, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

اختبأ برنامج NoVoice الخبيث في أكثر من 50 تطبيقًا على Google Play مستخدمًا 22 ثغرة في النواة من الفترة 2016-2021، مما أدى إلى إصابة 2.3 مليون جهاز Android. الأجهزة ذات تصحيحات الأمان الأقدم من مايو 2021 لا تزال عرضة للخطر تمامًا، ويمكن للبرامج الخبيثة البقاء بعد إعادة ضبط المصنع عن طريق استبدال مكتبات النظام.

الخلاصة: راجع مستويات تصحيح Android على جميع الأجهزة المُدارة فورًا. عزل أي جهاز بمستوى تصحيح أقدم من مايو 2021 عن الوصول إلى شبكة الشركة في انتظار التحديث أو الاستبدال.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
مرتفعة — حصة سوق Android في الجزائر تتجاوز 90%؛ اعتماد MDM للمؤسسات منخفض مما يخلق تعرضًا عاليًا

البنية التحتية جاهزة؟
جزئيًا — الشركات الكبرى لديها MDM أساسي؛ المؤسسات الصغيرة والقطاع العام غير مُدارَين إلى حد بعيد

المهارات متوفرة؟
جزئيًا — مهارات أمن الهاتف المحمول نادرة؛ معظم فرق الاستجابة للحوادث تتمحور حول نقاط نهاية Windows

الجدول الزمني للعمل
فوري — يمكن إجراء تدقيق التصحيح اليوم بأدوات MDM الموجودة؛ نشر قائمة السماح خلال 30 يومًا

أصحاب المصلحة الرئيسيون
فرق أمن المؤسسات، مسؤولو MDM، مكاتب CISO، قيادات المشتريات

نوع القرار
تكتيكي

خلاصة سريعة: يُثبت NoVoice أن الثقة في Google Play Store ليست ضابطًا أمنيًا كافيًا للمؤسسات. يجب على فرق الأمن الجزائرية في المؤسسات معاملة تطبيق مستويات التصحيح والتحكم في التطبيقات كأولويات تشغيلية عاجلة.

كيف أصابت 50 تطبيقًا تبدو شرعية 2.3 مليون جهاز Android

يتبع الاكتشاف نمطًا أصبح المتجه الرئيسي للتهديدات على الهاتف المحمول: كود خبيث مخفي داخل تطبيقات مساعدة تجتاز عملية المراجعة الآلية لـ Google Play. حدّدت فرقة بحث التهديدات في McAfee برنامج NoVoice مضمنًا في أكثر من 50 تطبيقًا — مقدَّمة كمديري معارض صور وأدوات تنظيف الجهاز والألعاب غير الرسمية — جمعت مجتمعةً أكثر من 2.3 مليون تنزيل قبل الاكتشاف.

ما يميز NoVoice عن برامج الإعلانات المزعجة البسيطة هو عمقه التقني. بدلًا من الاعتماد على ثغرة واحدة، ينشر NoVoice سلسلة استغلال منهجية ضد 22 ثغرة أمنية موثقة تمتد على نافذة زمنية من 2016 إلى 2021. ليست هذه ثغرات صفرية: كل منها يمتلك رقم CVE منشورًا وتصحيحًا متاحًا. لكن التصحيحات تحتاج إلى تعاون الشركة المصنّعة وموافقة مشغل الشبكة وإجراء المستخدم للوصول إلى الأجهزة المنشورة — وسلسلة تحديث Android المجزأة تعني أن مئات الملايين من الأجهزة لا تزال على مستويات تصحيح أمان من 2020 أو أقدم.

بمجرد أن تحقق أي من الثغرات الـ 22 وصولًا على مستوى الجذر، ينفّذ NoVoice إجراءه الأكثر أثرًا: يستبدل مكتبات النظام الحرجة بنسخ خبيثة تعترض استدعاءات النظام على مستوى النواة. هذا يعني أن NoVoice لا يعمل كتطبيق — بل مدمج في نظام التشغيل ذاته. يتصل البرنامج الخبيث بعد ذلك بخوادم القيادة والسيطرة لتسليم معرّفات الأجهزة وإصدار النواة وإصدار Android وقائمة التطبيقات المثبتة وحالة الجذر.

لماذا فشل نموذج أمان Google Play هنا

استثمرت Google بشكل كبير في بنية تحتية أمنية لـ Play Store، بما فيها Google Play Protect. تحايل NoVoice على جميع طبقات التحليل الساكن وصندوق الحماية السلوكي والكشف بالتعلم الآلي.

يُعزى فشل التحليل الساكن إلى إيصال الحمولة عبر الإخفاء في الصور (steganography): لا يحتوي التثبيت الأولي للتطبيق على أي كود خبيث قابل للاكتشاف. تُسلَّم سلسلة الاستغلال كأصل صوري بعد التثبيت، وتُفكَّك في الذاكرة وتُنفَّذ دون كتابة ملف بتوقيع خبيث معروف على القرص.

يعكس فشل صندوق الحماية السلوكي عدم تطابق التوقيت. البنية التحتية لوضع الحماية الخاصة بـ Google تُشغّل التطبيقات في بيئات معزولة وترصد سلوكها لثوانٍ أو دقائق. صُمِّمت سلسلة استغلال NoVoice لتُفعَّل فقط بعد استيفاء شروط محددة — الجهاز متصل بالطاقة، المستخدم غير نشط، التطبيق يعمل لأكثر من 24 ساعة.

ما يجب على فرق أمن المؤسسات فعله

1. التدقيق الفوري في مستويات تصحيح Android عبر جميع الأجهزة المُدارة

الإجراء الأكثر أهمية على مستوى المؤسسة هو جرد شامل لمستويات تصحيح أمان Android على كل جهاز مُدار — مملوك للشركة أو BYOD مُسجَّل في MDM. الأجهزة ذات مستوى تصحيح أمان أقدم من مايو 2021 عرضة تمامًا لسلسلة استغلال NoVoice الكاملة. اسحب تقرير مستوى التصحيح من منصة MDM لديك (Intune أو Jamf أو VMware Workspace ONE) اليوم. يجب عزل أي جهاز أقل من مستوى تصحيح مايو 2021 عن الوصول إلى شبكة الشركة فورًا في انتظار تحديث نظام التشغيل أو استبدال الجهاز.

2. نشر قوائم السماح بالتطبيقات على جميع أجهزة Android الخاصة بالشركة

دخل NoVoice عبر Play Store الذي تعامله معظم سياسات المؤسسات كمصدر موثوق. يجب مراجعة هذا الافتراض. يجب تهيئة أجهزة Android الخاصة بالشركة بقائمة سماح بالتطبيقات — كتالوج محدد من التطبيقات المعتمدة التي يمكن تثبيتها، مع حجب جميع الأخرى بالسياسة. هذا قابل للتطبيق عبر آلية Google Play المُدارة لـ Android Enterprise المتوفرة في كل منصة MDM رئيسية. التطبيقات المُزالة من Play Store يجب أن تُزال تلقائيًا من الأجهزة المُسجَّلة عبر push من MDM.

3. تفعيل الفحص المعزز لـ Play Protect ومراقبة تنبيهاته

وضع الفحص المعزز لـ Google Play Protect — الذي يُرسل بيانات تحليل التطبيقات إلى خوادم Google للفحص المعمق — متاح على معظم أجهزة Android لكن ليس مُفعَّلًا دائمًا بصورة افتراضية. تحقق من أن Play Protect نشط على جميع الأجهزة المُدارة عبر سياسة الامتثال في MDM. تنبيهات Play Protect على أي جهاز مُدار يجب أن تُشغّل نفس سير عمل الاستجابة مثل تنبيه الكشف عن البرامج الخبيثة من أي أداة أمان أخرى.

4. تطبيق ضوابط على مستوى الشبكة للكشف عن إشارات القيادة والسيطرة من الأجهزة المحمولة

تتطلب مرحلة ما بعد الاستغلال في NoVoice الاتصال ببنية تحتية للقيادة والسيطرة. الكشف على مستوى الشبكة عن إشارات القيادة والسيطرة المحمولة — استعلامات DNS غير معتادة، واتصالات بنطاقات مسجّلة حديثًا، وحركة مشفرة إلى نطاقات IP غير تجارية على منافذ غير معيارية — يوفر طبقة كشف تعمل بمعزل عن نظام التشغيل المخترق في الجهاز.

المشكلة الهيكلية: تجزئة تصحيح Android مسؤولية دائمة للمؤسسات

NoVoice جديد في تطوره التقني لكن ليس في فئة الثغرة التي يستغلها. سلسلة تحديث نظام Android — مصنّع الجهاز ← مشغل الشبكة ← المستخدم النهائي، دون جدول زمني إلزامي في أي مرحلة — كانت خطرًا معترفًا به للمؤسسات منذ عقد. استخدام NoVoice لـ 22 ثغرة من 2016–2021 ليس مؤشرًا على إبداع المهاجمين؛ إنه مؤشر على براغماتيتهم.

توصي إرشادات أمان الأجهزة المحمولة الصادرة عن SANS Institute بحد أقصى 90 يومًا لتأخر التصحيح في الصناعات المنظمة و30 يومًا للأجهزة التي تصل إلى البيانات الحساسة. يُوثّق إطار MITRE ATT&CK للهاتف المحمول التقنيات التي يستخدمها NoVoice — T1406 و T1624 و T1625 — مُقدِّمًا أساسًا منظمًا لتطوير قواعد الكشف.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

إذا أجريت إعادة ضبط مصنع على هاتفي Android بعد إصابته بـ NoVoice، هل أنا في مأمن؟

ليس بالضرورة. على الأجهزة حيث حققت سلسلة استغلال NoVoice استبدالًا عميقًا لمكتبات النظام، قد لا تُزيل إعادة ضبط المصنع القياسية المكتبات الخبيثة المدمجة في قسم النظام. مطلوب إعادة تثبيت كاملة لنظام التشغيل باستخدام صورة الفلاشة الرسمية من الشركة المصنّعة لضمان نظافة الجهاز.

هل يؤثر NoVoice في أجهزة iPhone أم فقط في Android؟

NoVoice يستغل ثغرات النواة الخاصة بـ Android — لا يؤثر في iOS. نموذج تحديث iOS الخاص بـ Apple الذي يُسلّم تصحيحات نظام التشغيل مباشرةً لجميع الأجهزة المدعومة دون وسيط من مشغلي الشبكة، يُزيل فعليًا فئة ثغرات تجزئة التصحيح التي يستغلها NoVoice.

كيف يمكنني معرفة ما إذا كان أحد الأجهزة مصابًا بالفعل؟

على جهاز استبدل فيه NoVoice مكتبات النظام، الكشف على الجهاز غير موثوق لأن البرنامج الخبيث يتحكم في واجهات برمجة التطبيقات على مستوى نظام التشغيل. المؤشرات التي قد تظهر على مستوى الشبكة تشمل: استعلامات DNS غير معتادة إلى نطاقات مسجّلة حديثًا، وحركة مشفرة صادرة على منافذ غير معيارية خلال ساعات غير عادية، واستنزاف البطارية بدون نشاط مستخدم.

—