برمجية Rokarolla الخبيثة تستهدف 217 تطبيقاً مصرفياً ومحفظة عملات رقمية على أندرويد
أبرز النقاط
- برمجية Rokarolla تستهدف 217 تطبيقاً مصرفياً ومحافظ عملات رقمية عبر واجهات تسجيل دخول مزيفة
- تنتشر عبر مواقع وهمية تنتحل صفة Chrome وTikTok وتتظاهر بأنها Google Play Protect
- تستحوذ على صلاحيات إمكانية الوصول للسيطرة الكاملة على الجهاز وتجاوز الحماية الأمنية
كشف باحثون في شركة Zimperium للأمن السيبراني عن برمجية خبيثة جديدة تُدعى Rokarolla تستهدف مستخدمي أندرويد عبر 217 تطبيقاً مصرفياً ومحفظة عملات رقمية، مستخدمةً ترسانة ضخمة من 137 أمراً للتحكم الكامل بالأجهزة المصابة. تمثّل هذه البرمجية تصعيداً خطيراً في موجة أحصنة طروادة المصرفية التي تستغل ثقة المستخدمين بالتطبيقات الشهيرة لسرقة أموالهم وبياناتهم الحساسة.
كيف تنتشر برمجية Rokarolla وتخدع المستخدمين؟
تعتمد Rokarolla على أسلوب خداع متعدد الطبقات يبدأ بمواقع إلكترونية خبيثة تتظاهر بتقديم تطبيقات Chrome أو TikTok. عند تحميل الملف، يعمل التطبيق كـ"قطّارة" (Dropper) تنتحل هوية Google Play Protect، نظام الحماية المدمج في أندرويد، لتوهم المستخدم بأنه يُثبّت تطبيقاً آمناً.
فور تشغيل التطبيق، يطلب صلاحيات خدمة إمكانية الوصول (Accessibility Service) إضافةً إلى أذونات الإشعارات والرسائل النصية والمكالمات. هذه الصلاحيات تمنح المهاجمين قدرات استثنائية تتجاوز آليات الحماية القياسية في أندرويد.
ما الذي تسرقه Rokarolla من الأجهزة المصابة؟
تتواصل البرمجية مع خادم القيادة والتحكم (C2) بإرسال بصمة رقمية للجهاز تشمل طراز الهاتف وإصدار أندرويد واللغة وخصائص الشاشة ومستوى البطارية وسعة التخزين. تُستخدم هذه البيانات لتوليد معرّف فريد لكل ضحية.
الهدف الرئيسي واضح: سرقة البيانات المالية. تفحص البرمجية الجهاز بحثاً عن أي من التطبيقات الـ217 المستهدفة، ثم تُحمّل حمولة تصيّد مخصصة لكل تطبيق موجود.
عند فتح الضحية لأي تطبيق مصرفي مستهدف، تعرض Rokarolla واجهة تسجيل دخول مزيفة طبق الأصل لسرقة بيانات الاعتماد ومعلومات البطاقات الائتمانية.
- سرقة الرسائل النصية بما فيها رموز التحقق الثنائي
- استخراج قائمة جهات الاتصال وجهات اتصال WhatsApp
- تسجيل ضربات المفاتيح بشكل متواصل
- التقاط محتوى الشاشة عبر تسجيل واجهة المستخدم
- نسخ محتويات الحافظة والتلاعب بها
- حظر المكالمات الواردة وتنبيهات الاحتيال المصرفي
- التقاط لقطات شاشة دورية ورفعها مع طوابع زمنية
كيف تتهرب Rokarolla من الكشف؟
تستخدم البرمجية طبقات تخفٍّ متقدمة تتجاوز مجرد سرقة البيانات. تعتمد على الواجهات المنبثقة (Overlays) لاعتراض رمز PIN أو نمط قفل الشاشة، مما يتيح للمهاجمين تشغيل الجهاز حتى وهو مقفل.
- تعطيل Google Play Protect لمنع اكتشاف البرمجية
- إخفاء أيقونة التطبيق من درج التطبيقات
- كتم الصوت والاهتزاز لإخفاء النشاط المشبوه
- إبقاء الشاشة نشطة بشكل دائم
- عرض شاشات تثبيت وهمية لحجب النشاط الخبيث
لماذا تُشكّل صلاحيات إمكانية الوصول خطراً استثنائياً؟
تُعدّ صلاحيات Accessibility Services بوابة ذهبية للبرمجيات الخبيثة. صُممت أصلاً لمساعدة ذوي الاحتياجات الخاصة، لكنها تمنح التطبيقات قدرة التفاعل مع واجهة المستخدم والموافقة على مطالبات النظام تلقائياً، وهو ما تستغله Rokarolla لتجاوز الحماية الأمنية.
نقاشات مجتمع الأمن السيبراني على منصات مثل Reddit تُشدد على أن هجمات "القطّارة" باتت أكثر تعقيداً، وأن استغلال Accessibility Services أصبح النمط السائد في البرمجيات المالية الخبيثة.
كيف تحمي نفسك من Rokarolla؟
لم تُكتشف البرمجية على متجر Google Play الرسمي حتى الآن، مما يعني أن الخطر الأساسي يكمن في تحميل ملفات APK من مصادر خارجية.
- تجنّب تحميل التطبيقات من خارج Google Play إلا من ناشرين موثوقين صراحةً
- راجع صلاحيات إمكانية الوصول الممنوحة واقصرها على التطبيقات الضرورية
- تحقق من أن Google Play Protect مفعّل ويعمل بشكل طبيعي
- لا تثق بأي تطبيق يطلب صلاحيات مفرطة لا تتناسب مع وظيفته
رأي Logicity
تكشف Rokarolla عن ثغرة بنيوية في نموذج أذونات أندرويد: صلاحية واحدة (Accessibility) تفتح باباً واسعاً للسيطرة الكاملة. في أسواق الخليج حيث تتسارع المعاملات المصرفية الرقمية وتداول العملات الرقمية، يصبح الوعي بمخاطر التحميل الجانبي للتطبيقات ضرورة وليس ترفاً. نتوقع أن تُحفّز هذه الموجة Google على تشديد ضوابط Accessibility في إصدارات أندرويد القادمة.
الأسئلة الشائعة
هل يمكن أن تصيبني Rokarolla إذا حمّلت التطبيقات فقط من Google Play؟
حتى الآن لم تُكتشف البرمجية على Google Play، لكن الحذر واجب دائماً. راجع الأذونات المطلوبة حتى للتطبيقات الرسمية.
كيف أعرف إن كان جهازي مصاباً بـRokarolla؟
ابحث عن استنزاف غير طبيعي للبطارية، طلبات أذونات مريبة، أو تطبيقات لا تتذكر تثبيتها. استخدم تطبيق حماية موثوقاً لفحص الجهاز.
ما الفرق بين Rokarolla وأحصنة طروادة المصرفية الأخرى؟
تتميز Rokarolla بحجم أوامرها الضخم (137 أمراً) وقدرتها على انتحال Google Play Protect ذاته، مما يمنحها مصداقية زائفة لدى الضحايا.
هل تستهدف Rokarolla تطبيقات بنوك خليجية بالتحديد؟
لم يُحدد التقرير التطبيقات المستهدفة بالاسم، لكن أي تطبيق مصرفي أو محفظة رقمية من ضمن الـ217 معرّض للخطر. الحيطة مطلوبة بغض النظر عن البنك.
هل يكفي تفعيل Google Play Protect للحماية؟
Play Protect طبقة حماية مهمة، لكن Rokarolla تُعطّله فور الإصابة. الحماية الأفضل هي تجنّب تحميل ملفات APK من مصادر غير موثوقة أصلاً.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تدير فريقاً تقنياً أو تطبيقاً مصرفياً وتحتاج تقييماً أمنياً لمخاطر البرمجيات الخبيثة على منصات الجوال، تواصل مع فريق Logicity للحصول على استشارة متخصصة.
عمر حسن
كاتب تقني وابتكار
اقرأ أيضاً
أجهزة Surface الجديدة: قفزة في الأداء مقابل 500 دولار إضافية
كشفت Microsoft في 16 يونيو 2026 عن الجيل الأحدث من أجهزتها الاستهلاكية: Surface Laptop (الإصدار الثامن) وSurface Pro (الإصدار الثاني عشر). الأجهزة تأتي بمعالجات Snapdragon X2 الجديدة من Qualcomm، وتَع
لماذا يدفع عشاق الصوت 830 دولاراً لمشغّل موسيقى واحد؟ تجربتي مع Roon
حين تسمع أن مشغّل موسيقى يُباع باشتراك مدى الحياة بقيمة 829.99 دولاراً، قد تظن الأمر مبالغة. لكن Roon ليس مجرد برنامج تشغيل؛ إنه منصة تحوّل مجموعتك الموسيقية إلى موسوعة تفاعلية قابلة للاستكشاف، وهذا ب
House of the Dragon الموسم الثالث ينطلق 21 يونيو: ما تحتاج معرفته قبل العرض
عالم ويستروس يعود بأشرس حلقاته: يبدأ عرض House of the Dragon الموسم الثالث يوم 21 يونيو 2026 على منصة Max، حاملاً معه ما يصفه النقاد بأكثر مواسم السلسلة إثارةً وعنفاً حتى الآن. الحلقة الافتتاحية لن تُ