عودة SparkCat: برنامج خبيث بتقنية OCR في متاجر التطبيقات يسرق العملات المشفرة عبر صورك

حصان طروادة الذي اجتاز مراجعة Apple مرتين

في فبراير 2025، وثقت Kaspersky حصان طروادة لسرقة العملات المشفرة نجح في اجتياز مراجعة App Store من Apple — للمرة الأولى. أطلقوا عليه اسم SparkCat. بعد تراكم أكثر من 242,000 تنزيل على Google Play، أزال كلا المتجرين التطبيقات المصابة. في أبريل 2026، عاد البرنامج الخبيث بترقيات كبيرة، مثبتاً أن الاكتشاف الأولي لم يكن حادثة منعزلة بل الفصل الأول من تهديد مستمر ومتطور.

تتجاوز التداعيات العملات المشفرة. يُظهر SparkCat أن التدقيق الرسمي في متاجر التطبيقات — إجراء الأمان الذي يعتبره معظم المستخدمين منيعاً — يحتوي على نقاط عمياء هيكلية يمكن للمهاجمين المتطورين استغلالها بشكل متكرر.

كيف يحوّل SparkCat الصور إلى سطح هجوم

يندمج SparkCat ضمن تطبيقات ذات مظهر شرعي — خدمات توصيل طعام ومراسلات مؤسسية وتطبيقات قمار — وينتظر محفزاً لطلب الوصول إلى معرض الصور. بمجرد منح الإذن عبر طلب سياقي معقول، تبدأ العملية الحقيقية.

يستغل حصان طروادة مكتبة ML Kit من Google لإجراء التعرف الضوئي على الحروف (OCR) على الجهاز، ممسحاً كل صورة متاحة بحثاً عن أنماط نصية تطابق عبارات استرداد محافظ العملات المشفرة — العبارات التذكيرية المكونة من 12 أو 24 كلمة التي تعمل كمفتاح رئيسي لمحفظة العملات المشفرة.

ما يجعل SparkCat خطيراً بشكل خاص هو أن معالجة OCR تحدث بالكامل على الجهاز. لا تُرسل بيانات مشبوهة أثناء المسح. فقط عندما يحدد البرنامج الخبيث تطابقاً يُخرج الصورة إلى خادم قيادة وتحكم، باستخدام بروتوكول مخصص مبني بـRust — لغة نادراً ما تُستخدم في البرمجيات الخبيثة للهاتف المحمول. يجلب المتغير Android تحديثات تكوين مشفرة من مستودعات GitLab باستخدام AES-256 في وضع CBC. تُضمّن نسخة iOS وحدة الشبكة المبنية بـRust مباشرة في الملف التنفيذي، مستخدمة أسماء frameworks مثل “Gzip” و”googleappsdk” للاندماج.

متغير 2026: ترقيات جوهرية

ظهر متغير أبريل 2026 في تطبيقي iOS على الأقل وتطبيق Android واحد مع تحسينات تقنية كبيرة.

افتراضية الكود. تحوّل حمولة Android الآن المنطق الخبيث إلى بايت كود مخصص يُفسَّر في وقت التشغيل، مما يجعل التحليل الثابت أصعب بكثير — لا تستطيع أدوات فك الترجمة إعادة بناء تدفق التحكم الأصلي.

تعمية متعددة المنصات. يستخدم المتغير الجديد لغات متعددة المنصات متعددة بخلاف Rust، مضيفاً طبقات من التوجيه غير المباشر تُحبط كلاً من الماسحات الآلية والهندسة العكسية اليدوية. تشير هذه التقنيات إلى فريق تطوير ذي موارد كبيرة.

استهداف لغوي موسّع. تمسح نسخة Android الكلمات المفتاحية اليابانية والكورية والصينية، عاكسة تركيزها على أسواق العملات المشفرة الآسيوية. يستهدف متغير iOS العبارات التذكيرية الإنجليزية، مما يمنحه نطاقاً عالمياً محتملاً.

بنية تحتية مستمرة. يشير الارتباط بحملة ذات صلة أطلقت عليها Kaspersky اسم SparkKitty — تتشارك أُطر البناء والتطبيقات المصابة ومسارات ملفات المهاجمين — إلى عملية مستدامة. وسّعت SparkKitty سطح الهجوم ليشمل نسخاً مُختَرقة من تطبيقات شائعة مُوزّعة عبر المتاجر الرسمية ومواقع احتيالية.

لماذا فشلت مراجعة متاجر التطبيقات مجدداً

يتنكر SDK الخبيث كمكوّن تحليلي شرعي — فئة Java تُسمى “Spark” على Android تتصرف كوحدة عادية أثناء المراجعة. لا يتنشط مسح OCR إلا عند استيفاء شروط محددة: منح الوصول إلى المعرض، واسترجاع التكوين من خادم بعيد. أثناء المراجعة، يؤدي التطبيق وظيفته المعلنة بشكل طبيعي.

يعتمد كل من App Review من Apple وPlay Protect من Google على المسح الآلي والتحليل السلوكي خلال نافذة اختبار محدودة. يستغل التنشيط المؤجل والمشروط لـSparkCat هذه الفجوة تحديداً. مع استخدام مزيد من التطبيقات لـML Kit وCore ML وأُطر مشابهة بشكل شرعي، يصبح التمييز بين الاستنتاج الخبيث على الجهاز والاستنتاج المشروع أصعب بشكل أسّي.

الذكاء الاصطناعي المحلي كسلاح

يمثل SparkCat فئة ناشئة من التهديدات التي تسلّح التعلم الآلي على الجهاز. بدلاً من تسريب البيانات الخام إلى خوادم سحابية (يمكن لمراقبة الشبكة اكتشاف ذلك)، تعالج هذه الهجمات البيانات محلياً باستخدام أُطر ML نفسها التي تشغّل الميزات المشروعة.

عملت الحملة الأصلية دون اكتشاف لمدة عام تقريباً قبل الكشف عنها. يشير العودة السريعة لمتغير 2026 إلى أن المشغلين تعاملوا مع الإزالة الأولية كانتكاسة مؤقتة. أفادت Chainalysis بأن سرقة العملات المشفرة بلغت 3.4 مليار دولار في 2025، مع ارتفاع اختراقات المحافظ الفردية إلى 158,000 حادثة أثرت على 80,000 ضحية فريدة — والهجمات عبر الهاتف المحمول تمثل ناقلاً متزايد الأهمية.

ما يجب عليك فعله الآن

لا تصوّر أبداً عبارات الاسترداد. اكتبها على ورق وخزّنها دون اتصال بالإنترنت. إذا كان لديك لقطات شاشة لعبارات الاسترداد، احذفها فوراً — ثم تحقق من محفظتك بحثاً عن أي نشاط غير مصرح به.

دقق أذونات التطبيقات. على iOS: الإعدادات > الخصوصية > الصور. على Android: الإعدادات > التطبيقات > الأذونات > الصور والفيديو. ألغِ الوصول لأي تطبيق دون حاجة وظيفية واضحة.

أزل التطبيقات المشبوهة. إذا ثبّت تطبيقات تطابق الفئات المستهدفة من SparkCat (توصيل طعام، مراسلة، قمار من ناشرين غير مألوفين)، أزلها. كانت بعض التطبيقات المصابة لا تزال متاحة وقت كشف Kaspersky في أبريل 2026.

فعّل الوصول المحدود للصور. يقدم كل من iOS وAndroid الآن أذونات صور دقيقة — شارك صوراً فردية بدلاً من منح وصول كامل للمعرض.

المصادر والقراءات الإضافية

• SparkCat Crypto Stealer in Google Play and App Store — Securelist (Kaspersky)
• New SparkCat Variant in iOS, Android Apps Steals Crypto Recovery Phrases — The Hacker News
• The New SparkKitty Trojan Spy in App Store and Google Play — Securelist (Kaspersky)
• SparkCat: First OCR Trojan to Infiltrate the App Store — Kaspersky Blog
• Crypto-Stealing Apps Found in Apple App Store for the First Time — BleepingComputer
• 2025 Crypto Theft Reaches $3.4 Billion — Chainalysis