تحقق مما إذا كان لديك ها التطبيق على هاتفك وقم إزالته بسرعة لهذا السبب

تُشكل البرامج الخبيثة مشكلة أمنية بالغة الخطورة، إذ يُمكن أن تُصيب أجهزة الكمبيوتر، بل والأجهزة المحمولة التي تستخدمها يوميًا. وقد تصادف أحيانًا هذه التطبيقات حتى على منصات موثوقة، مثل متجر جوجل بلاي. في هذه المقالة، سنتناول مثالًا على ذلك: تطبيق قارئ مستندات قام بتثبيت برمجية خبيثة خطيرة.

تم اكتشاف هذه البرمجية الخبيثة، المسماة Anatsa ، من قِبل باحثي الأمن في مختبر زسكيلر ثريت لابز. وقد تجاوز عدد مرات تحميلها 10,000 مرة. ورغم أن جوجل قد أزالتها من متجر التطبيقات، إلا أن العديد من المستخدمين قد لا يزالون يحتفظون بها مُثبتة على أجهزتهم.

تكمن المشكلة الخطيرة في هذا التطبيق المزيف، كما أوضح مختبر Zscaler ThreatLabz في منشور على حسابه على مواقع التواصل الاجتماعي إكس (Threatlabz@)، في توفره على متجر جوجل بلاي . ننصح دائمًا بتثبيت البرامج من مصادرها الرسمية، مثل متجر  جوجل بلاي، لكن هذا لا يضمن أمانًا تامًا، كما هو الحال هنا.

ThreatLabz discovered another fake document reader in the Google Play Store with more than 10K downloads, which delivered the Anatsa Android trojan.

Anatsa installer SHA256 hash: 5c9b09819b196970a867b1d459f9053da38a6a2721f21264324e0a8ffef01e20
Payload URL:… pic.twitter.com/CBAgWfaa4n

— Zscaler ThreatLabz (@Threatlabz) April 27, 2026

 برنامج Anatsa الخبيث هو حصان طروادة مصرفي يصيب أجهزة أندرويد. يتميز بقدرته على سرقة بيانات الاعتماد، وتسجيل ضغطات المفاتيح، وحتى تنفيذ معاملات احتيالية. وبالتالي، قد يتمكن من السيطرة على جهازك وسرقة بياناتك الشخصية وكلمات المرور التي تستخدمها لتسجيل الدخول إلى حساباتك.

هذا الحصان الطروادي ليس جديدًا، فقد ظهر لأول مرة عام 2020. ومع ذلك، فقد طوّر قدراته على مر السنين، مستهدفًا الخدمات المصرفية عبر الهاتف المحمول، ويستطيع أحدث إصدار منه مهاجمة أكثر من 800 مؤسسة مصرفية حول العالم، بما في ذلك منصات العملات المشفرة.

نشر باحثون في مختبر Zscaler ThreatLabz نتائجهم في 27 أبريل، بعد اكتشاف هذا التطبيق الخبيث على متجر Google Play. تنكر البرنامج في هيئة قارئ مستندات، وكان اسم الحزمة com.groundstation.informationcontrol.filestation_browsefiles_readdocs. قبل أن تحذفه جوجل، تجاوز عدد مرات تحميله 10,000 مرة.

للتحايل على إجراءات الأمان، استخدم التطبيق تقنية dropper، وهي نوع من البرامج الخبيثة المصممة لاحتواء ملف تنفيذي. ببساطة، يبقى هذا الملف غير مكتشف، وبمجرد دخوله إلى النظام، يعمل كقارئ مستندات، ثم يُطلق البرنامج الخبيث ويبدأ العمل دون علم الضحية. 

عند تشغيل التطبيق الخبيث على الجهاز، يطلب أذونات الوصول من المستخدم. وبذلك، يحصل على صلاحيات معينة، مثل عرض محتوى فوق التطبيقات الأخرى، واعتراض الرسائل، أو عرض تنبيهات ملء الشاشة. وبهذه الطريقة، يستطيع رصد جميع أنشطة المستخدم، وسرقة بيانات الاعتماد، والتدخل في عمل التطبيقات الأخرى.

يتمتع هذا البرنامج الخبيث بالقدرة على الاتصال بخادم يتحكم به المهاجمون، حيث يرسلون إليه كل ما يسرقونه. علاوة على ذلك، فهو مصمم للكشف عن تشغيله في بيئة معزولة، مما يجعله غير قابل للكشف أثناء الاختبار.

لتجنب هذه المشكلة، الخطوة الأولى هي التحقق من تثبيت هذا التطبيق. كما ذكرنا، اسم الحزمة هو com.groundstation.informationcontrol.filestation_browsefiles_readdocs. إذا كان مثبتًا لديك، فيجب عليك بالطبع إزالته فورًا. تذكر أنه، كما أوضحنا، قد يعمل البرنامج بشكل طبيعي كقارئ مستندات، لكن هذا لا يعني بالضرورة خلوه من البرامج الضارة.

للعثور على هذا التطبيق، انتقل إلى الإعدادات -> التطبيقات. في القائمة، استخدم شريط البحث واكتب "groundstation" أو "filestation" تحديدًا. إذا ظهر "قارئ المستندات" بهذا المعرّف، فقم بإلغاء تثبيته فورًا.