حذر خبراء الأمن السيبراني من ظهور نسخة جديدة ومتطورة من برمجية RedHook الخبيثة، التي تستهدف أجهزة أندرويد بقدرات أكثر تطورًا من الإصدارات السابقة. وتستطيع البرمجية السيطرة على الهاتف، ومراقبة الشاشة، وقراءة الرسائل، وتنفيذ أوامر عن بُعد، دون الحاجة إلى إجراء روت (Root) أو توصيل الهاتف بجهاز كمبيوتر.
وأوضح باحثون في شركة Group-IB أن الإصدار الجديد يعتمد على استغلال وظائف أصلية داخل نظام أندرويد بدلًا من استغلال ثغرات تقليدية، وهو ما يجعل اكتشاف الهجوم أكثر صعوبة ويزيد من خطورته.
كما أشار التقرير إلى أن البرمجية تستخدم أساليب خداع متقدمة لإقناع الضحية بتثبيت تطبيق ضار ومنحه صلاحيات واسعة، قبل أن تبدأ في تنفيذ عمليات التجسس والسيطرة على الجهاز.
ما هي برمجية RedHook؟
تعد RedHook واحدة من البرمجيات الخبيثة التي تستهدف نظام تشغيل أندرويد.وتركز هذه البرمجية على سرقة البيانات والتحكم في الهاتف عن بُعد، مع الاستفادة من بعض الميزات المدمجة داخل النظام.
كما أوضح التقرير أن النسخة الجديدة تمثل تطورًا كبيرًا مقارنة بالإصدار الذي ظهر خلال عام 2025، لأنها تعتمد على أدوات شرعية داخل النظام لتنفيذ هجماتها.
ولهذا السبب، يصعب على المستخدم ملاحظة نشاطها في كثير من الحالات.
كيف تبدأ عملية الاختراق؟
تعتمد برمجية RedHook على أسلوب الهندسة الاجتماعية لإقناع الضحية بتنفيذ خطوات الاختراق بنفسه.وتبدأ العملية عادة بإرسال رسالة نصية قصيرة أو إجراء مكالمة هاتفية تنتحل صفة بنك أو جهة حكومية.
بعد ذلك، يوجه المهاجم الضحية إلى موقع إلكتروني صُمم ليشبه متجر Google Play الرسمي.وعندما يعتقد المستخدم أنه يحمل تطبيقًا موثوقًا، يقوم بتثبيت التطبيق يدويًا على هاتفه.
وهنا تبدأ المرحلة الأخطر من الهجوم.
لماذا تطلب البرمجية صلاحية إمكانية الوصول؟
بعد تثبيت التطبيق، يطلب من المستخدم تفعيل خدمات إمكانية الوصول (Accessibility Services).وصممت جوجل هذه الميزة لمساعدة الأشخاص ذوي الإعاقة على استخدام الهواتف بسهولة.
لكن التطبيقات الخبيثة قد تستغل هذه الصلاحية لتنفيذ أوامر داخل الهاتف نيابة عن المستخدم.ولذلك، يحذر خبراء الأمن من منح هذه الصلاحية لأي تطبيق مجهول المصدر.
ماذا تفعل RedHook بعد الحصول على الصلاحيات؟
بمجرد حصول التطبيق على صلاحيات إمكانية الوصول، يبدأ بتنفيذ عدة خطوات داخل الهاتف.
وتشمل هذه الإجراءات:
- تفعيل خيارات المطور (Developer Options).
- تشغيل ميزة Wireless ADB للتحكم في الهاتف عبر شبكة الواي فاي.
- قراءة رمز الاقتران (Pairing Code) الذي يظهر على الشاشة.
- إنشاء اتصال محلي بخدمة ADB.
- الحصول على صلاحيات متقدمة لإدارة النظام دون الحاجة إلى روت.
وبعد ذلك، يستطيع المهاجم تنفيذ أوامر مختلفة على الجهاز بصورة سرية.
كيف تستغل البرمجية أداة Shizuku؟
كشف باحثو Group-IB أن البرمجية تعتمد أيضًا على أداة Shizuku.
وتعد Shizuku أداة شرعية يستخدمها المطورون لتشغيل أوامر متقدمة داخل نظام أندرويد دون الحاجة إلى إجراء روت.
لكن مطوري البرمجية استغلوا هذه الأداة لأغراض خبيثة.
ولذلك، لا يعني وجود Shizuku على الهاتف أن الجهاز مصاب، بل تكمن الخطورة في استخدامها من خلال تطبيقات ضارة.
ما المخاطر التي تشكلها RedHook؟
تمنح الصلاحيات التي تحصل عليها البرمجية قدرات واسعة للمهاجم.
وقد يتمكن من:
- مراقبة ما يظهر على شاشة الهاتف.
- قراءة الرسائل النصية.
- تنفيذ أوامر عن بُعد.
- التفاعل مع التطبيقات.
- الوصول إلى بعض البيانات الحساسة.
ومع ذلك، يعتمد حجم الضرر على الصلاحيات التي يمنحها المستخدم للتطبيق، وطبيعة البيانات الموجودة على الجهاز.
كيف تحمي هاتفك من RedHook؟
ينصح خبراء الأمن السيبراني باتباع مجموعة من الإجراءات الوقائية للحد من خطر الإصابة.
وتشمل هذه الإجراءات:
- تحميل التطبيقات من Google Play أو المتاجر الموثوقة فقط.
- تجنب تثبيت ملفات APK من مواقع غير معروفة.
- عدم منح صلاحية Accessibility Services لأي تطبيق غير موثوق.
- تحديث نظام أندرويد والتطبيقات باستمرار.
- مراجعة الأذونات الممنوحة للتطبيقات بصورة دورية.
- استخدام برنامج حماية موثوق إذا لزم الأمر.
كما يجب الحذر من الرسائل النصية أو المكالمات التي تطلب تنزيل تطبيقات من روابط خارجية.
هل كل تطبيق يطلب صلاحية إمكانية الوصول يمثل خطرًا؟
الإجابة هي لا.
فالعديد من التطبيقات الموثوقة تستخدم هذه الصلاحية لتقديم خدمات حقيقية، مثل تطبيقات قراءة الشاشة أو أدوات الأتمتة.
لكن يجب التأكد من هوية التطبيق قبل منح أي صلاحيات حساسة.
كما يفضل تنزيل التطبيقات من المصادر الرسمية فقط، لأن ذلك يقلل كثيرًا من خطر التعرض للبرمجيات الخبيثة.
لماذا تعد هذه النسخة أكثر خطورة؟
يرى الباحثون أن النسخة الجديدة من RedHook تختلف عن الإصدارات السابقة لأنها تعتمد على ميزات رسمية داخل أندرويد بدلًا من كسر حماية النظام.
كما تستفيد من أدوات شرعية يستخدمها المطورون، وهو ما يجعل اكتشاف نشاطها أكثر صعوبة.
وفي المقابل، لا يعني ذلك أن جميع الأجهزة معرضة للإصابة تلقائيًا، إذ يحتاج المهاجم في البداية إلى إقناع المستخدم بتنزيل التطبيق ومنحه الصلاحيات المطلوبة.
خلاصة التحذير
تكشف برمجية RedHook عن تطور أساليب الهجمات الإلكترونية التي تستهدف مستخدمي أندرويد.ولذلك، يبقى وعي المستخدم خط الدفاع الأول ضد هذه التهديدات.
كما يساعد الالتزام بتنزيل التطبيقات من المصادر الرسمية، ومراجعة الأذونات، وتجنب الروابط المشبوهة على تقليل احتمالات الإصابة بشكل كبير.
وأخيرًا، يؤكد خبراء الأمن أن الحذر عند تثبيت التطبيقات لا يقل أهمية عن استخدام أدوات الحماية، خاصة مع تزايد اعتماد البرمجيات الخبيثة على أساليب خداع متطورة.










