Starry Addax وFlexStarling: برنامج تجسس على Android يستهدف ناشطين في شمال أفريقيا

نُشر في مارس 22, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

حدّد Cisco Talos فاعل تهديد يُدعى Starry Addax ينشر برنامج تجسس مخصصاً على Android يُسمى FlexStarling ضد أهداف في شمال أفريقيا، مستخدماً بنية تحتية C2 قائمة على Firebase للتهرب من الكشف. سجّلت الجزائر أكثر من 70 مليون هجوم سيبراني في 2024 لتحتل المرتبة 17 عالمياً، فيما قفزت هجمات أحصنة طروادة المصرفية على الهواتف الذكية بنسبة 196% عالمياً.

خلاصة: يجب على المؤسسات الجزائرية ومقدمي الخدمات المصرفية عبر الهاتف المحمول مراجعة وضعهم الأمني فوراً ونشر حلول الدفاع ضد التهديدات المحمولة، في ظل حملات تجسس متزايدة التطور ومصممة خصيصاً للمنطقة.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

تُذكر الجزائر مباشرة بين الدول الأكثر تعرضاً للهجمات السيبرانية في 2024، بتسجيل 70 مليون هجوم. حملة Starry Addax تستهدف تحديداً شمال أفريقيا، والنظام البيئي للخدمات المصرفية المحمولة المتوسع في الجزائر يتشارك نفس نقاط الضعف التي يستغلها فاعل التهديد هذا: هيمنة Android وفجوة الوعي الأمني.

الجدول الزمني للعمل
فوري
▾

FlexStarling مُنتشر بشكل فعّال ضد أهداف في شمال أفريقيا، ومشهد التهديدات المحمولة يتدهور مع ارتفاع بنسبة 196% في أحصنة طروادة المصرفية عالمياً. لا تستطيع المؤسسات الجزائرية انتظار تطبيق السياسات المستقبلية للتحرك في مجال أمن الهواتف المحمولة.

أصحاب المصلحة الرئيسيون
فرق الأمن في المؤسسات، مستخدمو الخدمات المصرفية عبر الهاتف المحمول، الجهات التنظيمية المالية، مشغلو الاتصالات، ASSI، DZ-CERT

نوع القرار
تكتيكي
▾

يقدم هذا المقال معلومات استخباراتية محددة وقابلة للتنفيذ حول تهديد نشط في منطقة الجزائر، ويتطلب تدابير دفاعية ملموسة بدلاً من تخطيط استراتيجي طويل الأمد.

مستوى الأولوية
حرج
▾

تواجه الجزائر حملة تهديد محمولة نشطة ومتطورة في منطقتها في الوقت الذي يتسارع فيه اعتماد الخدمات المصرفية عبر الهاتف المحمول. الفجوة بين تطور التهديدات والاستعداد الدفاعي تخلق مخاطر فورية لملايين المستخدمين.

خلاصة سريعة: يجب على فرق الأمن في المؤسسات الجزائرية نشر حلول الدفاع ضد التهديدات المحمولة وإجراء تدريبات توعوية أمنية مستهدفة حول التصيد الموجّه وتحميل ملفات APK الخبيثة خلال الثلاثين يوماً القادمة. يجب على المستخدمين الأفراد فوراً مراجعة تطبيقاتهم المثبتة، وتعطيل المصادر غير المعروفة، والتحول من المصادقة الثنائية عبر SMS إلى المصادقة عبر التطبيقات. يجب على الجهات التنظيمية المالية تسريع اعتماد معايير الأمان الدنيا لتطبيقات الخدمات المصرفية عبر الهاتف المحمول قبل وصول الموجة القادمة من أحصنة طروادة المصرفية الخاصة بالمنطقة.

تهديد محمول موجَّه يصل إلى شمال أفريقيا

حدّد باحثو Cisco Talos فاعل تهديد يُدعى Starry Addax في أبريل 2024، كاشفين عن حملة تستهدف تحديداً ناشطين في مجال حقوق الإنسان مرتبطين بقضية الجمهورية العربية الصحراوية الديمقراطية في شمال أفريقيا. ينشر هذا الفريق برنامج تجسس مخصصاً على Android يُدعى FlexStarling من خلال رسائل بريد إلكتروني موجّهة (spear-phishing) تُغري الضحايا بتثبيت تطبيق محمول مُلغَّم.

ما يجعل Starry Addax ذا أهمية لمشهد الأمن السيبراني في الجزائر لا يقتصر على أهدافه المباشرة فحسب، بل يمتد إلى ما يكشفه عن بيئة التهديدات المحمولة في المنطقة. فالأدوات المبنية خصيصاً، والهندسة الاجتماعية المصممة للمنطقة، وتقنيات التهرب المتعمدة تُظهر مستوى من التطور يُنذر بأنواع التهديدات التي سيواجهها النظام البيئي للهواتف المحمولة المتوسع في الجزائر بشكل متزايد.

سجّلت الجزائر أكثر من 70 مليون هجوم سيبراني في 2024، لتحتل المرتبة 17 عالمياً بين الدول الأكثر استهدافاً وفقاً لشركة Kaspersky. كما حجبت الشركة أكثر من 13 مليون محاولة تصيد احتيالي وقرابة 750,000 مرفق بريد إلكتروني خبيث استهدف المستخدمين الجزائريين خلال الفترة ذاتها.

كيف يعمل Starry Addax

ينشط Starry Addax منذ يناير 2024، مركّزاً عملياته على أفراد متعاطفين مع قضية الجمهورية العربية الصحراوية الديمقراطية في المغرب ومنطقة الصحراء الغربية. يتبع اسم المجموعة اصطلاح التسمية في الأمن السيبراني الذي يجمع بين حيوان أصلي من المنطقة المستهدفة ووصف تعديلي. فالأداكس (addax) هو ظبي صحراوي مهدد بالانقراض بشكل حرج، و”starry” تشير إلى عائلة برمجيات FlexStarling الخبيثة.

تبدأ سلسلة العدوى في الحملة بـرسائل بريد إلكتروني موجّهة تحثّ الأهداف على تثبيت ما يبدو أنه تطبيق Sahara Press Service (SPSRASD) المحمول أو طُعم مشابه ذو صلة بسياق الصحراء الغربية. تتكيف بنية التصيد الاحتيالي للمجموعة بناءً على نظام تشغيل الضحية: يتلقى مستخدمو Android ملف APK الخاص بـFlexStarling، بينما يُعاد توجيه مستخدمي Windows إلى صفحة تسجيل دخول مزيفة لوسائل التواصل الاجتماعي مصممة لسرقة بيانات الاعتماد.

ما يميز Starry Addax عن مجرمي الإنترنت الانتهازيين هو استثماره في أدوات مخصصة. جميع المكونات، من البرمجيات الخبيثة إلى البنية التحتية التشغيلية، تبدو مصممة خصيصاً لهذه الحملة بدلاً من الاعتماد على أدوات جاهزة متاحة في المنتديات السرية. وهذا يشير إلى عملية جيدة الموارد ذات تركيز متعمد على التخفي.

FlexStarling: القدرات التقنية

FlexStarling هو برنامج تجسس على Android مصمم لاستخراج معلومات حساسة من الأجهزة المخترقة مع التهرب من الكشف. عند التثبيت، يطلب ملف APK الخبيث أذونات واسعة من نظام التشغيل Android، بما في ذلك الوصول إلى رسائل SMS وسجلات المكالمات وجهات الاتصال والتخزين الخارجي وتسجيل الصوت ومعلومات حالة الهاتف والاتصال بالشبكة.

تعتمد بنية القيادة والتحكم للبرنامج الخبيث على Firebase، منصة تطوير الهواتف المحمولة من Google، بدلاً من خوادم C2 التقليدية. هذا الخيار المعماري مقصود: فالاتصالات القائمة على Firebase تندمج مع حركة مرور التطبيقات المشروعة، مما يجعل الكشف على مستوى الشبكة أصعب بكثير على أدوات الأمان.

يتضمن FlexStarling ميزات مضادة للتحليل تفحص معلومات BUILD للبحث عن كلمات مفتاحية تشير إلى أن البرنامج الخبيث يعمل على محاكٍ أو بيئة تحليل معزولة (sandbox). وهذا يُعقّد جهود الهندسة العكسية التي يقوم بها الباحثون الأمنيون. بمجرد أن يستقر على الجهاز، يمكن لـFlexStarling تلقي أوامر من خادم C2 لتفعيل أو تعطيل القدرات، ونشر مكونات خبيثة إضافية، وتسريب البيانات المجمعة.

الأذونات المطلوبة، وخاصة READ_SMS وREAD_CONTACTS وREAD_CALL_LOG، خطيرة بشكل خاص في السياق الجزائري حيث لا يزال SMS هو الآلية الرئيسية للمصادقة الثنائية لمعظم الخدمات المصرفية والمالية. إذا طُبّقت تقنيات مماثلة على نطاق واسع ضد مستخدمي الخدمات المصرفية عبر الهاتف المحمول، فإن الأجهزة المخترقة قد تمنح المهاجمين القدرة على اعتراض رسائل OTP وتجاوز المصادقة الثنائية.

لماذا النظام البيئي للهواتف المحمولة في الجزائر معرّض للخطر

يستهدف Starry Addax شريحة محددة، لكن نقاط الضعف التي يستغلها منتشرة بشكل منهجي عبر مشهد الهواتف المحمولة في الجزائر.

هيمنة Android تخلق سطح هجوم واسعاً. يمتلك Android أكثر من 87% من حصة السوق في الجزائر. بينما تُعد انفتاحية Android ميزة للمستخدمين والمطورين، فإنها تسمح بتثبيت التطبيقات من أي مصدر، مما يجعل المستخدمين عرضة للبرمجيات الخبيثة المحمّلة جانبياً عبر التصيد الاحتيالي. تعمل العديد من الأجهزة في المنطقة بإصدارات قديمة من Android لم تعد تتلقى تحديثات أمنية، مما يخلق عدداً كبيراً من الهواتف الذكية المعرّضة للخطر بشكل دائم.

الخدمات المالية عبر الهاتف المحمول تتوسع بسرعة. خدمات مثل BaridiMob (منصة Algerie Poste للخدمات المصرفية عبر الهاتف المحمول التي أطلقت مدفوعات Baridi Pay اللاتلامسية في يونيو 2025)، وتطبيقات CCP المحمولة، ومنصات التكنولوجيا المالية الناشئة تُدمج ملايين المستخدمين الذين كانوا يعتمدون حصرياً على النقد في النظام المالي الرقمي. كل مستخدم جديد للخدمات المصرفية عبر الهاتف المحمول يمثل هدفاً محتملاً، والتحول يسبق الوعي الأمني.

أحصنة طروادة المصرفية تشهد ارتفاعاً حاداً عالمياً. أفادت Kaspersky بأن هجمات أحصنة طروادة المصرفية على الهواتف الذكية قفزت بنسبة 196% في 2024، وأن اكتشافات أحصنة طروادة المصرفية المحمولة في النصف الأول من 2025 كانت أعلى بأربع مرات تقريباً مقارنة بالفترة نفسها من العام السابق. عائلات نشطة مثل Cerberus وAnubis وحصان طروادة Grandoreiro، الذي وُثّق تأثيره على الجزائر ضمن دول أفريقية أخرى، تُركّب شاشات تسجيل دخول مزيفة فوق التطبيقات المصرفية المشروعة لسرقة بيانات الاعتماد.

وسائل التواصل الاجتماعي تعمل كقناة توزيع للتصيد الاحتيالي. مع أكثر من 25 مليون مستخدم لـFacebook في الجزائر مطلع 2025، وفقاً لبيانات Meta الإعلانية، تُعد منصات التواصل الاجتماعي ناقلاً رئيسياً لتوزيع حملات التصيد الاحتيالي. يُضخّم WhatsApp، الموجود في كل مكان في الجزائر، التهديد حيث تحظى الروابط الخبيثة المشاركة عبر جهات اتصال شخصية بثقة ضمنية.

الإطار الدفاعي للجزائر

تعمل الجزائر على بناء قدراتها المؤسسية في مجال الأمن السيبراني، على الرغم من أن الاتحاد الدولي للاتصالات يصنّف البلاد في المستوى الثالث (“في طور التأسيس”) في مؤشره العالمي للأمن السيبراني 2024، مما يعكس مشاركة منظّمة لا تزال في مرحلة التوطيد.

الاستراتيجية الوطنية للأمن السيبراني 2025-2029. اعتمدها الرئيس تبون بموجب المرسوم الرئاسي رقم 25-321 بتاريخ 30 ديسمبر 2025، وكشفت عنها ASSI (وكالة أمن أنظمة المعلومات التابعة لوزارة الدفاع الوطني) في 3 مارس 2026. تسعى الاستراتيجية إلى تحقيق ثلاثة أهداف رئيسية: حماية البنية التحتية الحيوية، وتأمين البيانات الحساسة للدولة، وضمان استمرارية الخدمات العامة. وتؤكد على تعزيز القدرات التقنية وتحسين التنسيق بين المؤسسات وتعزيز الوقاية والاستجابة للحوادث السيبرانية.

المرسوم الرئاسي 26-07. وُقّع في 7 يناير 2026 ونُشر في الجريدة الرسمية في 21 يناير، يُلزم هذا المرسوم كل مؤسسة عامة بإنشاء وحدة أمن سيبراني مخصصة منفصلة عن إدارة تكنولوجيا المعلومات، تتبع مباشرة لرئيس المؤسسة. يجب على هذه الوحدات تصميم سياسات الأمن السيبراني وإجراء خرائط المخاطر ونشر خطط المعالجة وضمان الامتثال لتشريعات حماية البيانات الشخصية. وهذا يُنشئ هياكل مساءلة لم تكن موجودة سابقاً في معظم المؤسسات العامة.

البنية المؤسسية. يعمل إطار الأمن السيبراني الجزائري من خلال ثلاث هيئات: ASSI كوكالة تقنية تشغيلية مع مركز عملياتها CNOSSI، وCNSSI كهيئة سياسات استراتيجية (أُنشئت بموجب القانون رقم 20-05 لعام 2020)، وDZ-CERT كفريق الاستجابة الوطني لطوارئ الحاسوب المستضاف لدى CERIST، العضو في كل من FIRST وAfricaCERT.

غير أن التنفيذ يبقى الحلقة المفقودة الحاسمة. تفتقر العديد من المؤسسات إلى الميزانية أو الخبرة أو الالتزام التنظيمي لتفعيل وحدات الأمن السيبراني التي أوجبها المرسوم 26-07 بشكل كامل. ولا يزال التفاوت صارخاً بين الأدوات المهنية التي تستخدمها مجموعات مثل Starry Addax والوضع الأمني الافتراضي للعديد من المؤسسات الجزائرية.

الدفاعات العملية للمستخدمين والمؤسسات الجزائرية

للمستخدمين الأفراد: قوموا بتثبيت التطبيقات فقط من Google Play Store وعطّلوا خيار “التثبيت من مصادر غير معروفة” في إعدادات Android. راجعوا أذونات التطبيقات قبل التثبيت. حافظوا على تحديث أجهزتكم بأحدث التصحيحات الأمنية. عندما تدعم الخدمات ذلك، استخدموا تطبيقات المصادقة (Google Authenticator أو Microsoft Authenticator) بدلاً من SMS للمصادقة الثنائية، حيث إن تطبيقات المصادقة محصّنة ضد اعتراض SMS وهجمات استبدال بطاقة SIM.

لفرق الأمن في المؤسسات: انشروا حلول إدارة الأجهزة المحمولة (MDM) لفرض التشفير والقوائم البيضاء للتطبيقات وإمكانيات المسح عن بُعد. استثمروا في أدوات الدفاع ضد التهديدات المحمولة (MTD) التي تكشف التطبيقات الخبيثة والهجمات على مستوى الشبكة. أجروا تدريبات توعوية أمنية منتظمة تتناول تحديداً التصيد الاحتيالي عبر الهاتف المحمول وفحص التطبيقات. طوّروا إجراءات الاستجابة للحوادث المتعلقة باختراق الأجهزة المحمولة.

للمؤسسات الوطنية: عزّزوا مشاركة المعلومات الاستخباراتية حول التهديدات بين DZ-CERT وASSI والنظراء الدوليين لتمكين الكشف الأسرع عن حملات مثل Starry Addax. أعطوا الأولوية للتثقيف حول أمن الهواتف المحمولة في حملات التوعية العامة، مع التركيز بشكل خاص على الفئات التي بدأت حديثاً باعتماد الخدمات المالية عبر الهاتف المحمول. فرضوا معايير أمنية دنيا لتطبيقات الخدمات المصرفية عبر الهاتف المحمول، بما في ذلك تعتيم الشفرة البرمجية (code obfuscation) وتثبيت الشهادات (certificate pinning) وحماية التطبيق أثناء التشغيل (RASP).

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما هو Starry Addax ومن يستهدف؟

Starry Addax هو فاعل تهديد حدّده Cisco Talos في أبريل 2024، يستهدف ناشطين في مجال حقوق الإنسان مرتبطين بقضية الجمهورية العربية الصحراوية الديمقراطية في شمال أفريقيا. يستخدم المجموعة برنامج تجسس مخصصاً على Android يُدعى FlexStarling، يُوزَّع عبر رسائل بريد إلكتروني موجّهة تنتحل صفة تطبيق Sahara Press Service المحمول. بينما أهدافه الحالية محددة، فإن التقنيات التي يستخدمها قابلة للتطبيق على أي مستخدم محمول في المنطقة.

كيف يتهرب FlexStarling من الكشف على أجهزة Android؟

يستخدم FlexStarling بنية تحتية للقيادة والتحكم قائمة على Firebase بدلاً من خوادم C2 التقليدية، مما يجعل اتصالاته الشبكية تندمج مع حركة مرور التطبيقات المشروعة. يتضمن البرنامج الخبيث أيضاً ميزات مضادة للتحليل تكشف عندما يعمل على محاكٍ أو بيئة أمنية معزولة، مما يمنع الباحثين من دراسة سلوكه بسهولة. جميع المكونات مصممة خصيصاً لهذه الحملة دون الاعتماد على أدوات برمجيات خبيثة متاحة للعموم.

ماذا يجب أن يفعل مستخدمو الخدمات المصرفية عبر الهاتف المحمول في الجزائر لحماية أنفسهم؟

الدفاع الأكثر فعالية هو تثبيت التطبيقات فقط من Google Play Store وتعطيل إعداد “التثبيت من مصادر غير معروفة” على أجهزة Android. يجب على المستخدمين التحول من المصادقة الثنائية عبر SMS إلى تطبيقات المصادقة مثل Google Authenticator، المحصّنة ضد اعتراض SMS. الحفاظ على تحديث الأجهزة بأحدث التصحيحات الأمنية أمر بالغ الأهمية أيضاً، ويجب على المستخدمين التشكك في أي رسالة تخلق شعوراً بالإلحاح لتنزيل تطبيق أو النقر على رابط.