استخبارات الخصم

حملة RedAlert Trojan: انتشار تطبيق تنبيه الطوارئ المزيف عبر الرسائل القصيرة المخادعة لقيادة الجبهة الداخلية الإسرائيلية

كشفت CloudSek عن حملة انتحال الرسائل القصيرة الخبيثة التي تنشر نسخة مزيفة من تطبيق الطوارئ «Red Alert» الإسرائيلي وسط الصراع المستمر. يمكن لتطبيق Android المحصن، المتخفي كمنصة تحذير موثوقة، سرقة الرسائل القصيرة وجهات الاتصال وبيانات الموقع بينما يبدو شرعيًا. يسلط التقرير الضوء على كيفية قيام مجرمي الإنترنت بتسليح الخوف العام أثناء الأزمات لنشر برامج التجسس المحمولة ذات الآثار الأمنية الخطيرة والواقعية.

March 3, 2026

دقيقة

جدول المحتوى

مثال H2

ملخص تنفيذي

ال تنبيه أحمر تمثل حملة التجسس عبر الهاتف المحمول ناقلًا خطيرًا للتهديد يستغل بشكل مباشر الذعر المدني المتزايد المحيط بالصراع الحركي الحالي بين إسرائيل وإيران. تستفيد الجهات الفاعلة في مجال التهديد من الحاجة الماسة إلى تنبيهات الصواريخ في الوقت الفعلي من خلال توزيع نسخة أحصنة من تطبيق Home Front Command الرسمي من خلال التصيد الاحتيالي المستهدف عبر الرسائل القصيرة (smishing). تتجاوز آلية التسليم هذه عمدًا متجر Google Play - المستودع الشرعي الوحيد لتطبيق «Red Alert» الأصلي، والذي يعمل بشكل نظيف مع الوصول الأساسي فقط إلى الإشعارات. من خلال التلاعب بالضحايا لتحميل ملف APK الضار هذا تحت ستار تحديث عاجل في زمن الحرب، نجح الخصوم في نشر واجهة تنبيه تعمل بكامل طاقتها تخفي محرك مراقبة غازيًا مصممًا للاعتداء على السكان المتيقظين للغاية.

تحت المظهر الخارجي الشرعي، تنفذ البرامج الضارة عدوى معقدة متعددة المراحل، باستخدام خطافات بروكسي ديناميكية لتزوير شهادة توقيع التطبيق الأصلي لعام 2014 والتهرب من عمليات التحقق من سلامة نظام Android. تقوم الحمولة الأساسية، التي يتم التشويش عليها بشدة داخل الفصل، بإجراء استطلاعات قوية للحصول على أذونات النظام عالية المخاطر لاعتراض صناديق البريد الوارد الكاملة للرسائل القصيرة، وجمع دفاتر جهات الاتصال، وتتبع إحداثيات GPS الدقيقة باستمرار. يتم تنظيم هذه المعلومات الاستخبارية المجمعة بشكل منهجي وتسريبها إلى البنية التحتية التي يتحكم فيها المهاجم عبر حلقة تحميل سريعة. إن الجمع بين تتبع المواقع المدنية في الوقت الفعلي أثناء الغارات الجوية النشطة والقدرة على تجاوز 2FA من خلال اعتراض الرسائل القصيرة يحول هذه الحملة إلى مخاطر أمنية استراتيجية ومادية شديدة، مما يتطلب بروتوكولات الحجر الصحي الفورية والحظر على مستوى الشبكة.

‍

‍

التحليل الثابت: الهندسة العكسية

1. تثبيت مدير الحزم (مكافحة العبث والإخفاء)

تستخدم الشفرة الانعكاس لربط iPackageManager (على وجه التحديد من خلال SpackageManager في ActivityThread).

انتحال التوقيع: يقوم باعتراض المكالمات إلى GetPackageInfo. إذا طلب نظام أو أداة أمان شهادات توقيع التطبيق، فسيقوم الرمز بإرجاع توقيع مشفر (تم فك تشفيرها من سلسلة Base64 في AttachBaseContext) بدلاً من السلسلة الحقيقية. يُستخدم هذا لتجاوز عمليات التحقق من التوقيع التي قد تكتشف ما إذا كان ملف APK قد تم تعديله أو العبث به.
انتحال المثبت: في طريقة الاستدعاء، فإنه يعترض GetInstallerPackageName ويجبره على إرجاع «com.android.vending» (متجر غوغل بلاي). هذا يجعل التطبيق يبدو كما لو تم تثبيته رسميًا من متجر Play، حتى لو تم تحميله بشكل جانبي.

‍

التوقيع: انهيار فك التشفير

1. وحدات البايت الخاصة بالعنوان (AqaAar8) البايتات القليلة الأولى من السلسلة التي تم فك تشفيرها هي تعليمات لبرنامج DataInputStream الخاص بالبرامج الضارة حول كيفية قراءة الحمولة:

01: يشير إلى وجود ذلك بالضبط 1 توقيع للقراءة.
00 00 02 BF: هذا عدد صحيح من 4 بايت يمثل طول بيانات الشهادة (703 بايت).

2. شهادة X.509 (WGGK7MiiBO6ad...) وتشكل 703 بايت المتبقية الشهادة الفعلية. يكشف تحليل بنية ASN.1/DER هذه عن تفاصيل التشفير التالية:

الموضوع: C=IL (البلد: إسرائيل)
المُصدر: C=IL (البلد: إسرائيل)
صالح من: 12 يوليو 2014 (14:50:54 بتوقيت جرينتش)
صالح لـ: 18 يونيو 2014 (14:50:54 بتوقيت جرينتش)
الخوارزمية: SHA256 مع آر إس إيه
المفتاح العام: آر إس إيه 2048 بت

2. تحميل الحمولة الديناميكية (أصل «umgdn»)

تحتوي طريقة AttachBaseContext على روتين لاستخراج ملف مخفي:

يبحث عن أصل اسمه أومدن.
يقوم بنسخ هذا الأصل إلى دليل الملفات الداخلي للتطبيق (getFileStreamPath).
ثم يقوم بتحديث معلومات التطبيق يدويًا (على وجه التحديد SourceDir و PublicSourceDir) للإشارة إلى هذا الملف الجديد.

لماذا يعتبر هذا ضارًا: هذه تقنية تستخدم لتحميل حمولة ثانوية «مسقطة» (مثل ملف.dex أو .so) مع جعل النظام يعتقد أنه يتفاعل مع APK الأصلي. من خلال تحديث MappDir و mApplicationInfo عبر التفكير، يمكن للبرامج الضارة تنفيذ التعليمات البرمجية من ملف umgdn مع إخفائها من الفحص القياسي.

3. الاستخدام المكثف للانعكاس والوكيل

تتجنب الشفرة استخدام واجهات برمجة تطبيقات Android القياسية مباشرةً، وتختار بدلاً من ذلك:

الفئة. للحصول على الاسم («موضوع نشاط التطبيق على Android.App")
بروكسي. مثيل بروكسي جديد
معالجة مباشرة للحقول الداخلية مثل MPM و mPackages و SpackageManager.

تدفق التنفيذ

تنقسم سلسلة الإصابة بالبرامج الضارة إلى ثلاث مراحل:

المرحلة 1: المحمل الأولي (APK الرئيسي)

Attribute	Value
File Name	RedAlert.apk
MD5	9c6c67344fecd8ff8dbbee877aad7efc
SHA256	83651b0589665b112687f0858bfe2832ca317ba75e700c91ac34025ee6578b72

يعمل الغلاف الخارجي لـ APK بشكل أساسي كمحمل. اللودر يستخرجه ويحمله كملف DEX في وقت التشغيل، يستخدم التفكير ويربط بمدير حزم Android (على سبيل المثال، عبر فئة تطبيق PMSDexHookApplication) لانتحال توقيعه وتجاوز عمليات التحقق الأولية من التلاعب. وتتمثل مهمتها الأساسية في استخراج أصول المرحلة 2 المخفية وتنفيذها. يتوقع التطبيق الحقيقي شهادة توقيع محددة، ولكن تمت إعادة تعبئة ملف APK أو تغليفه باستخدام أداة تحميل.

يقوم اللودر باعتراض المكالمات مثل: مدير الحزم. احصل على معلومات الحزمة () وتقوم بإرجاع الشهادة الأصلية، مما يمنع التطبيق من اكتشاف أنه تم تعديلها.

المرحلة 2: الحمولة المتوسطة (umgdn)

Attribute	Value
File Name	umgdn
MD5	98294a2c838eaf63fe94cccf52af3ce8
SHA256	0cba66e78ddaeecfdd462c8cb39e443d083dc58c609b0edc73e8101e59ca91e8

يتم تخزين هذا المكون داخل دليل assets/ كملف يسمى umgdn (بدون ملحق ملف)، ويتم تحميل هذا المكون ديناميكيًا في الذاكرة بحلول المرحلة 1. من خلال التعامل مع هذا الأصل الخام باعتباره Dalvik Executable (DEX)، تقوم البرامج الضارة بتحويل مسار التنفيذ بعيدًا عن المكونات القابلة للمسح بشكل ثابت لملف APK الأولي.

يُظهر تحليل حمولة umgdn أنها تحتوي على منطق تطبيق RedAlert الأصلي، بما في ذلك المكونات التي تتفاعل مع واجهات برمجة تطبيقات Firebase وخدمة Pushy لتسليم الإشعارات الفورية ومعالجة التنبيهات.

المرحلة 3: مجسات تصحيح الأخطاء التاجية (DebugProbeskt.dex)

Attribute	Value
File Name	DebugProbesKt.dex
MD5	d41d8cd98f00b204e9800998ecf8427e
SHA256	e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

تتضمن المرحلة النهائية آليات تحويل فئة وقت التشغيل الموجودة داخل التعليمات البرمجية المحملة ديناميكيًا. المكون المرصود (محول مسبار التصحيح) يعترض تحميل Kotlin.coRoutines.jvm. اختبار داخلي لتصحيح الأخطاء فئة وتستبدل رمز البايت الخاص بها بمورد مضمن (DebugProbesKt.bin).

يبدو أن هذه الآلية مرتبطة بأجهزة تصحيح أخطاء Kotlin coroutine بدلاً من الوظائف الضارة المباشرة. ومع ذلك، يمكن لتقنيات استبدال رمز البايت لوقت التشغيل هذه أن تعقد التحليل الثابت عن طريق تغيير سلوك الفئة في وقت التحميل وإخفاء التنفيذ الفعال لوقت التشغيل من الكود المترجم الأصلي.

‍التحليل الديناميكي: التنفيذ وسلوك وقت التشغيل

1. التنفيذ وإخفاء واجهة المستخدم (UI):

أثناء التنفيذ الديناميكي، الحزمة الثلاثية (com.red.alertx) يتم إطلاقه بنجاح ويعكسه تمامًا واجهة المستخدم الرسومية (GUI) لتطبيق Red Alert الرسمي لقيادة الجبهة الداخلية الإسرائيلية. بالنسبة للمستخدم النهائي، لا يوجد أي تناقض مرئي على الإطلاق في الوظائف الأساسية، حيث يقدم التطبيق الضار بنشاط تنبيهات حقيقية للهجمات الصاروخية للحفاظ على تمويهه.

يحدث الاختلاف السلوكي الحرج حصريًا أثناء إطلاق التطبيق الأولي ومرحلة الإعداد. في حين أن التطبيق الشرعي يقيد مطالبته بشكل صارم بالوصول القياسي إلى الإشعارات لإرسال التنبيهات، فإن الحمولة الضارة تطالب الضحية بقوة بأذونات النظام عالية المخاطر (مثل جهات الاتصال والرسائل القصيرة والموقع)، وتخفيها كمتطلبات ضرورية للعمليات الأساسية للتطبيق.

2. سلوك وقت التشغيل ومشغلات التسلل:

بمجرد التنفيذ، تبدأ البرامج الضارة سلسلة رسائل خلفية صامتة تستطلع باستمرار نظام التشغيل Android لتغييرات حالة الإذن. لا تنتظر حتى يتم منح مجموعة كاملة من الأذونات؛ في اللحظة التي يوافق فيها المستخدم على إذن واحد مطلوب، يتم تشغيل وحدة تجميع البيانات المرتبطة ديناميكيًا.

وقد لوحظ أن البرنامج الضار يقوم بتجميع المعلومات الاستخباراتية المجمعة (بما في ذلك البريد الوارد للرسائل القصيرة وقوائم جهات الاتصال الكاملة وإحداثيات GPS في الوقت الفعلي) في ملفات محلية مصنفة قبل بدء حلقة التسلل الخاصة بها.

3. اتصالات الشبكة والبنية التحتية:

يؤكد تحليل حركة مرور الشبكة أن البرامج الضارة تحافظ على اتصالات قوية ومستمرة مع البنية التحتية للقيادة والتحكم (C2). بمجرد تنظيم البيانات محليًا، يتم تكرار سلسلة رسائل التحميل المخصصة، مما يؤدي إلى إنشاء اتصالات خارجية سريعة لنقل الحمولة عبر طلبات HTTP POST إلى https://api[.]ra-backup[.]com/analytics/submit.php.

تم التقاط عناوين IP التالية أثناء مرحلة التنفيذ الديناميكي، والتي تمثل البنية التحتية التي تسهل التسلل واتصالات C2:

44.208.242.141
104.21.64.137
172.67.137.156
44.200.176.254
216.45.58.148

ملاحظة: يشير وجود عناوين 104.21.xx و 172.67.xx إلى أن الجهات الفاعلة في مجال التهديد تستفيد من Cloudflare لتوكيل البنية التحتية الخلفية الحقيقية وحمايتها، بينما تشير عناوين 44.x.xx إلى بيئات استضافة AWS.

مؤشر التسوية:

اسم التطبيق: RedAlert.apk

Type	Indicator	Details
App	RedAlert.apk	Malicious Android application sample
IP Address	216.45.58.148	ASN-QUADRANET-GLOBALUS — Associated with api.ra-backup.com
IP Address	44.208.242.141	AMAZON-AESUS — Associated with api.pushy.me
IP Address	44.200.176.254	AMAZON-AESUS — Secondary AWS node
IP Address	104.21.64.137	CLOUDFLARENETUS — Proxy infrastructure / Blissroms API
IP Address	172.67.137.156	CLOUDFLARENETUS — Associated with redalert.me endpoints
URL	https[:]//www[.]shirideitch[.]com/wp-content/uploads/2022/06/RedAlert[.]apk	Distribution source
URL	http[:]//bit[.]ly/3Ozydsn	Shortened distribution link
URL	https[:]//bit[.]ly/2O3fHEX	Shortened distribution link
URL	https[:]//bit[.]ly/3GfZoys	Shortened distribution link
URL	https[:]//api[.]ra-backup[.]com/analytics/submit[.]php	Data submission / analytics endpoint
URL	https[:]//api[.]tzevaadom[.]app	Associated backend API
File	RedAlert.apk	MD5: 9c6c67344fecd8ff8dbbee877aad7efc
File	umgdn	MD5: 98294a2c838eaf63fe94cccf52af3ce8
File	DebugProbesKt.dex	MD5: d41d8cd98f00b204e9800998ecf8427e

تقييم الأثر: السياق الاستراتيجي والجيوسياسي

1. تسليح الذعر النشط في زمن الحرب (الإغراء):

ومع الهجمات الانتقامية الإيرانية بالصواريخ الباليستية والطائرات بدون طيار التي تستهدف بنشاط الأراضي الإسرائيلية والقواعد الأمريكية في جميع أنحاء الخليج، فإن المواطنين بحاجة ماسة إلى أنظمة الإنذار المبكر في الوقت الفعلي. إن التنكر في زي تطبيق «الإنذار الأحمر» الرسمي التابع لقيادة الجبهة الداخلية الإسرائيلية يستغل بشكل مباشر هذه الضرورة الملحة للحياة أو الموت، مما يضمن فعليًا معدل إصابة مرتفعًا بشكل استثنائي حيث يتجاوز الضحايا النظافة الأمنية القياسية بحثًا عن الأمان.

2. الاستهداف الحركي ومخاطر الأمن المادي (تتبع الموقع):

في سياق حرب نشطة متعددة الجبهات، تتجاوز وظيفة التتبع المستمر لنظام تحديد المواقع العالمي (GPS) للبرامج الضارة المراقبة الرقمية القياسية. يوفر تحديد الموقع الجغرافي لآلاف الأجهزة المصابة في الوقت الفعلي للخصوم - معلومات استخبارية جماعية وقابلة للتنفيذ. يمكن استخدام هذه البيانات كسلاح لرسم خرائط لمواقع الملاجئ المدنية، أو تتبع الحركة الجماعية للسكان النازحين، أو تحديد تركيز ونشر جنود الاحتياط في جيش الدفاع الإسرائيلي، مما قد يؤدي إلى تحسين استهداف وابل الصواريخ القادمة.

3. جمع المعلومات الاستراتيجية (استخراج البيانات):

يسمح التسلل العدواني لمدير حساب الجهاز وقوائم جهات الاتصال الكاملة وصندوق الرسائل القصيرة للجهات الفاعلة في مجال التهديد التي ترعاها الدولة برسم الرسوم البيانية الاجتماعية للسكان المصابين بسرعة. يتيح جمع البيانات الشامل هذا تحديد الأهداف عالية القيمة (HVTs) - مثل الأفراد العسكريين أو المسؤولين الحكوميين أو مقاولي الدفاع - للاستغلال الثانوي. علاوة على ذلك، فإن اعتراض اتصالات الرسائل القصيرة في الوقت الفعلي يسمح للخصوم بتجاوز 2FA على شبكات البنية التحتية الحيوية أو شن حرب نفسية عالية الاستهداف (على سبيل المثال، إرسال رسائل SMS محبطة أو خادعة أثناء انقطاع البنية التحتية).

4. تآكل سلامة الاستجابة للطوارئ:

من خلال الاستيلاء الناجح على العلامة التجارية ووظائف تطبيق مهم لإنقاذ الحياة، تنفذ هذه الحملة شكلاً مدمرًا من حرب المعلومات. إذا علم السكان المدنيون أن تطبيقات الإنذار في حالات الطوارئ يتم تصنيفها بشكل كبير، فسوف تنهار ثقة الجمهور في قنوات البث الحكومية الرسمية. قد يتردد المواطنون في تثبيت تحديثات شرعية لقيادة الجبهة الداخلية أو البدء في تجاهل صفارات الإنذار الأصلية، مما يزيد بشكل مباشر من خطر وقوع إصابات في صفوف المدنيين خلال الغارات الجوية المستمرة.

استراتيجيات المعالجة والتخفيف

لاحتواء التهديد الذي يشكله com.red.alertx حملة برامج التجسس ومنع المزيد من تسريب البيانات، يجب على المنظمات والأفراد المتضررين تنفيذ العلاج التكتيكي الفوري والدفاعات الاستراتيجية طويلة المدى.

1. معالجة فورية على مستوى الجهاز

نظرًا لإمكانيات جمع البيانات الشاملة للبرامج الضارة، فإن الاعتماد فقط على إلغاء تثبيت التطبيق القياسي غير كافٍ.

عزل الجهاز وانقطاعه: اعزل على الفور الأجهزة المشتبه في أنها تعرضت للاختراق من جميع شبكات الشركة وشبكة Wi-Fi والبيانات الخلوية لقطع حلقة التسلل إلى خوادم C2.
إلغاء حقوق المسؤول: انتقل إلى الإعدادات > الأمان > مسؤولو الأجهزة وإلغاء أي امتيازات إدارية ممنوحة لتطبيق «RedAlert» المجسم.
إعادة ضبط المصنع (موصى به): نظرًا لقدرة البرامج الضارة على استخراج بيانات النظام العميقة وربما إسقاط الحمولات الثانوية، فإن إعادة ضبط المصنع بالكامل للجهاز المصاب هي الطريقة الوحيدة المضمونة للقضاء على التهديد. يجب عدم استعادة الأجهزة من نسخة احتياطية تم إنشاؤها بعد تاريخ الإصابة الأولي.

2. دفاعات الشبكة والبنية التحتية

يجب على مسؤولي الشبكة حظر جميع محاولات الاتصال بالبنية التحتية لممثل التهديد على الفور.

حظر DNS وعناوين URL: قم بتهريب أو حظر جميع طلبات DNS الصادرة وحركة مرور HTTP/HTTPS إلى نطاق C2 الأساسي:
- api.ra-backup [.] com
قائمة حظر عناوين IP: قم بتطبيق تصفية صارمة للخروج في جدار الحماية المحيط وبوابة الويب الآمنة (SWG) لعناوين C2 IP المحددة التالية. لاحظ أن العديد من هذه الأجهزة تستخدم توجيه Cloudflare و AWS لإخفاء البنية التحتية الخلفية الحقيقية:
- 216.45.58 [.] 148
تحليل حركة المرور: ابحث عن حركة مرور HTTP POST غير الطبيعية التي تحدث على فترات زمنية ثابتة، وهو ما يدل بشكل كبير على التدريج الآلي للحمولة الصافية وحلقة التحميل.

3. الوضع الأمني الاستباقي وإنفاذ السياسة

لمنع العدوى المستقبلية الناجمة عن الهندسة الاجتماعية في زمن الحرب والطعوم المضللة:

تطبيق إدارة الأجهزة المحمولة (MDM): قم بتكوين سياسات MDM لحظر تثبيت التطبيقات بشكل صارم من «مصادر غير معروفة» (التحميل الجانبي). قم بتقييد تنزيلات التطبيق حصريًا على متجر Google Play المُدار.
تدقيق أذونات التطبيق: استخدم حلول MDM للتدقيق النشط ووضع علامة على الأجهزة التي تعمل بالتطبيقات ذات مجموعات الأذونات عالية الخطورة - وتحديدًا الطلب المتزامن لـ READ_SMS و READ_CONTACTS و ACCESS_FINE_LOCATION و SYSTEM_ALERT_WINDOW.
تدريب التوعية الأمنية: قم بنشر موظفي الاتصالات الداخلية بسرعة لتحذير الموظفين بشأن التهديد المحدد الذي تشكله الجهات الفاعلة المهددة التي تقوم بتسليح الصراع الإسرائيلي الإيراني عبر الرسائل النصية القصيرة. أكد أن تطبيقات الطوارئ الحكومية الرسمية لن تطلب أبدًا الوصول إلى صناديق البريد الوارد للرسائل القصيرة أو قوائم جهات الاتصال الكاملة.