Starry Addax وFlexStarling: برنامج تجسس على Android يستهدف ناشطين في شمال أفريقيا

تهديد محمول موجَّه يصل إلى شمال أفريقيا

حدّد باحثو Cisco Talos فاعل تهديد يُدعى Starry Addax في أبريل 2024، كاشفين عن حملة تستهدف تحديداً ناشطين في مجال حقوق الإنسان مرتبطين بقضية الجمهورية العربية الصحراوية الديمقراطية في شمال أفريقيا. ينشر هذا الفريق برنامج تجسس مخصصاً على Android يُدعى FlexStarling من خلال رسائل بريد إلكتروني موجّهة (spear-phishing) تُغري الضحايا بتثبيت تطبيق محمول مُلغَّم.

ما يجعل Starry Addax ذا أهمية لمشهد الأمن السيبراني في الجزائر لا يقتصر على أهدافه المباشرة فحسب، بل يمتد إلى ما يكشفه عن بيئة التهديدات المحمولة في المنطقة. فالأدوات المبنية خصيصاً، والهندسة الاجتماعية المصممة للمنطقة، وتقنيات التهرب المتعمدة تُظهر مستوى من التطور يُنذر بأنواع التهديدات التي سيواجهها النظام البيئي للهواتف المحمولة المتوسع في الجزائر بشكل متزايد.

سجّلت الجزائر أكثر من 70 مليون هجوم سيبراني في 2024، لتحتل المرتبة 17 عالمياً بين الدول الأكثر استهدافاً وفقاً لشركة Kaspersky. كما حجبت الشركة أكثر من 13 مليون محاولة تصيد احتيالي وقرابة 750,000 مرفق بريد إلكتروني خبيث استهدف المستخدمين الجزائريين خلال الفترة ذاتها.

كيف يعمل Starry Addax

ينشط Starry Addax منذ يناير 2024، مركّزاً عملياته على أفراد متعاطفين مع قضية الجمهورية العربية الصحراوية الديمقراطية في المغرب ومنطقة الصحراء الغربية. يتبع اسم المجموعة اصطلاح التسمية في الأمن السيبراني الذي يجمع بين حيوان أصلي من المنطقة المستهدفة ووصف تعديلي. فالأداكس (addax) هو ظبي صحراوي مهدد بالانقراض بشكل حرج، و”starry” تشير إلى عائلة برمجيات FlexStarling الخبيثة.

تبدأ سلسلة العدوى في الحملة بـرسائل بريد إلكتروني موجّهة تحثّ الأهداف على تثبيت ما يبدو أنه تطبيق Sahara Press Service (SPSRASD) المحمول أو طُعم مشابه ذو صلة بسياق الصحراء الغربية. تتكيف بنية التصيد الاحتيالي للمجموعة بناءً على نظام تشغيل الضحية: يتلقى مستخدمو Android ملف APK الخاص بـFlexStarling، بينما يُعاد توجيه مستخدمي Windows إلى صفحة تسجيل دخول مزيفة لوسائل التواصل الاجتماعي مصممة لسرقة بيانات الاعتماد.

ما يميز Starry Addax عن مجرمي الإنترنت الانتهازيين هو استثماره في أدوات مخصصة. جميع المكونات، من البرمجيات الخبيثة إلى البنية التحتية التشغيلية، تبدو مصممة خصيصاً لهذه الحملة بدلاً من الاعتماد على أدوات جاهزة متاحة في المنتديات السرية. وهذا يشير إلى عملية جيدة الموارد ذات تركيز متعمد على التخفي.

FlexStarling: القدرات التقنية

FlexStarling هو برنامج تجسس على Android مصمم لاستخراج معلومات حساسة من الأجهزة المخترقة مع التهرب من الكشف. عند التثبيت، يطلب ملف APK الخبيث أذونات واسعة من نظام التشغيل Android، بما في ذلك الوصول إلى رسائل SMS وسجلات المكالمات وجهات الاتصال والتخزين الخارجي وتسجيل الصوت ومعلومات حالة الهاتف والاتصال بالشبكة.

تعتمد بنية القيادة والتحكم للبرنامج الخبيث على Firebase، منصة تطوير الهواتف المحمولة من Google، بدلاً من خوادم C2 التقليدية. هذا الخيار المعماري مقصود: فالاتصالات القائمة على Firebase تندمج مع حركة مرور التطبيقات المشروعة، مما يجعل الكشف على مستوى الشبكة أصعب بكثير على أدوات الأمان.

يتضمن FlexStarling ميزات مضادة للتحليل تفحص معلومات BUILD للبحث عن كلمات مفتاحية تشير إلى أن البرنامج الخبيث يعمل على محاكٍ أو بيئة تحليل معزولة (sandbox). وهذا يُعقّد جهود الهندسة العكسية التي يقوم بها الباحثون الأمنيون. بمجرد أن يستقر على الجهاز، يمكن لـFlexStarling تلقي أوامر من خادم C2 لتفعيل أو تعطيل القدرات، ونشر مكونات خبيثة إضافية، وتسريب البيانات المجمعة.

الأذونات المطلوبة، وخاصة READ_SMS وREAD_CONTACTS وREAD_CALL_LOG، خطيرة بشكل خاص في السياق الجزائري حيث لا يزال SMS هو الآلية الرئيسية للمصادقة الثنائية لمعظم الخدمات المصرفية والمالية. إذا طُبّقت تقنيات مماثلة على نطاق واسع ضد مستخدمي الخدمات المصرفية عبر الهاتف المحمول، فإن الأجهزة المخترقة قد تمنح المهاجمين القدرة على اعتراض رسائل OTP وتجاوز المصادقة الثنائية.

لماذا النظام البيئي للهواتف المحمولة في الجزائر معرّض للخطر

يستهدف Starry Addax شريحة محددة، لكن نقاط الضعف التي يستغلها منتشرة بشكل منهجي عبر مشهد الهواتف المحمولة في الجزائر.

هيمنة Android تخلق سطح هجوم واسعاً. يمتلك Android أكثر من 87% من حصة السوق في الجزائر. بينما تُعد انفتاحية Android ميزة للمستخدمين والمطورين، فإنها تسمح بتثبيت التطبيقات من أي مصدر، مما يجعل المستخدمين عرضة للبرمجيات الخبيثة المحمّلة جانبياً عبر التصيد الاحتيالي. تعمل العديد من الأجهزة في المنطقة بإصدارات قديمة من Android لم تعد تتلقى تحديثات أمنية، مما يخلق عدداً كبيراً من الهواتف الذكية المعرّضة للخطر بشكل دائم.

الخدمات المالية عبر الهاتف المحمول تتوسع بسرعة. خدمات مثل BaridiMob (منصة Algerie Poste للخدمات المصرفية عبر الهاتف المحمول التي أطلقت مدفوعات Baridi Pay اللاتلامسية في يونيو 2025)، وتطبيقات CCP المحمولة، ومنصات التكنولوجيا المالية الناشئة تُدمج ملايين المستخدمين الذين كانوا يعتمدون حصرياً على النقد في النظام المالي الرقمي. كل مستخدم جديد للخدمات المصرفية عبر الهاتف المحمول يمثل هدفاً محتملاً، والتحول يسبق الوعي الأمني.

أحصنة طروادة المصرفية تشهد ارتفاعاً حاداً عالمياً. أفادت Kaspersky بأن هجمات أحصنة طروادة المصرفية على الهواتف الذكية قفزت بنسبة 196% في 2024، وأن اكتشافات أحصنة طروادة المصرفية المحمولة في النصف الأول من 2025 كانت أعلى بأربع مرات تقريباً مقارنة بالفترة نفسها من العام السابق. عائلات نشطة مثل Cerberus وAnubis وحصان طروادة Grandoreiro، الذي وُثّق تأثيره على الجزائر ضمن دول أفريقية أخرى، تُركّب شاشات تسجيل دخول مزيفة فوق التطبيقات المصرفية المشروعة لسرقة بيانات الاعتماد.

وسائل التواصل الاجتماعي تعمل كقناة توزيع للتصيد الاحتيالي. مع أكثر من 25 مليون مستخدم لـFacebook في الجزائر مطلع 2025، وفقاً لبيانات Meta الإعلانية، تُعد منصات التواصل الاجتماعي ناقلاً رئيسياً لتوزيع حملات التصيد الاحتيالي. يُضخّم WhatsApp، الموجود في كل مكان في الجزائر، التهديد حيث تحظى الروابط الخبيثة المشاركة عبر جهات اتصال شخصية بثقة ضمنية.

الإطار الدفاعي للجزائر

تعمل الجزائر على بناء قدراتها المؤسسية في مجال الأمن السيبراني، على الرغم من أن الاتحاد الدولي للاتصالات يصنّف البلاد في المستوى الثالث (“في طور التأسيس”) في مؤشره العالمي للأمن السيبراني 2024، مما يعكس مشاركة منظّمة لا تزال في مرحلة التوطيد.

الاستراتيجية الوطنية للأمن السيبراني 2025-2029. اعتمدها الرئيس تبون بموجب المرسوم الرئاسي رقم 25-321 بتاريخ 30 ديسمبر 2025، وكشفت عنها ASSI (وكالة أمن أنظمة المعلومات التابعة لوزارة الدفاع الوطني) في 3 مارس 2026. تسعى الاستراتيجية إلى تحقيق ثلاثة أهداف رئيسية: حماية البنية التحتية الحيوية، وتأمين البيانات الحساسة للدولة، وضمان استمرارية الخدمات العامة. وتؤكد على تعزيز القدرات التقنية وتحسين التنسيق بين المؤسسات وتعزيز الوقاية والاستجابة للحوادث السيبرانية.

المرسوم الرئاسي 26-07. وُقّع في 7 يناير 2026 ونُشر في الجريدة الرسمية في 21 يناير، يُلزم هذا المرسوم كل مؤسسة عامة بإنشاء وحدة أمن سيبراني مخصصة منفصلة عن إدارة تكنولوجيا المعلومات، تتبع مباشرة لرئيس المؤسسة. يجب على هذه الوحدات تصميم سياسات الأمن السيبراني وإجراء خرائط المخاطر ونشر خطط المعالجة وضمان الامتثال لتشريعات حماية البيانات الشخصية. وهذا يُنشئ هياكل مساءلة لم تكن موجودة سابقاً في معظم المؤسسات العامة.

البنية المؤسسية. يعمل إطار الأمن السيبراني الجزائري من خلال ثلاث هيئات: ASSI كوكالة تقنية تشغيلية مع مركز عملياتها CNOSSI، وCNSSI كهيئة سياسات استراتيجية (أُنشئت بموجب القانون رقم 20-05 لعام 2020)، وDZ-CERT كفريق الاستجابة الوطني لطوارئ الحاسوب المستضاف لدى CERIST، العضو في كل من FIRST وAfricaCERT.

غير أن التنفيذ يبقى الحلقة المفقودة الحاسمة. تفتقر العديد من المؤسسات إلى الميزانية أو الخبرة أو الالتزام التنظيمي لتفعيل وحدات الأمن السيبراني التي أوجبها المرسوم 26-07 بشكل كامل. ولا يزال التفاوت صارخاً بين الأدوات المهنية التي تستخدمها مجموعات مثل Starry Addax والوضع الأمني الافتراضي للعديد من المؤسسات الجزائرية.

الدفاعات العملية للمستخدمين والمؤسسات الجزائرية

للمستخدمين الأفراد: قوموا بتثبيت التطبيقات فقط من Google Play Store وعطّلوا خيار “التثبيت من مصادر غير معروفة” في إعدادات Android. راجعوا أذونات التطبيقات قبل التثبيت. حافظوا على تحديث أجهزتكم بأحدث التصحيحات الأمنية. عندما تدعم الخدمات ذلك، استخدموا تطبيقات المصادقة (Google Authenticator أو Microsoft Authenticator) بدلاً من SMS للمصادقة الثنائية، حيث إن تطبيقات المصادقة محصّنة ضد اعتراض SMS وهجمات استبدال بطاقة SIM.

لفرق الأمن في المؤسسات: انشروا حلول إدارة الأجهزة المحمولة (MDM) لفرض التشفير والقوائم البيضاء للتطبيقات وإمكانيات المسح عن بُعد. استثمروا في أدوات الدفاع ضد التهديدات المحمولة (MTD) التي تكشف التطبيقات الخبيثة والهجمات على مستوى الشبكة. أجروا تدريبات توعوية أمنية منتظمة تتناول تحديداً التصيد الاحتيالي عبر الهاتف المحمول وفحص التطبيقات. طوّروا إجراءات الاستجابة للحوادث المتعلقة باختراق الأجهزة المحمولة.

للمؤسسات الوطنية: عزّزوا مشاركة المعلومات الاستخباراتية حول التهديدات بين DZ-CERT وASSI والنظراء الدوليين لتمكين الكشف الأسرع عن حملات مثل Starry Addax. أعطوا الأولوية للتثقيف حول أمن الهواتف المحمولة في حملات التوعية العامة، مع التركيز بشكل خاص على الفئات التي بدأت حديثاً باعتماد الخدمات المالية عبر الهاتف المحمول. فرضوا معايير أمنية دنيا لتطبيقات الخدمات المصرفية عبر الهاتف المحمول، بما في ذلك تعتيم الشفرة البرمجية (code obfuscation) وتثبيت الشهادات (certificate pinning) وحماية التطبيق أثناء التشغيل (RASP).

المصادر والقراءات الإضافية

• Starry Addax Targets Human Rights Defenders in North Africa with New Malware — Cisco Talos Intelligence
• Hackers Targeting Human Rights Activists in Morocco and Western Sahara — The Hacker News
• Algeria Orders Cybersecurity Units in Public Sector Amid Surge in Cyberattacks — Ecofin Agency
• Algeria Adopts 2025-2029 National Cybersecurity Strategy — We Are Tech Africa
• FlexStarling Mobile Malware Analysis — EnigmaSoft
• Banking Data Theft Attacks on Smartphones Triple in 2024 — Kaspersky
• Presidential Decree No. 26-07 — ARPCE Official Publication
• National Information Systems Security Strategy 2025-2029 Unveiled — Algerie Presse Service