سال‌ها انتشار جاسوس‌افزار از طریق Play Store

به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، مهاجمان در کارزاری با نام PhantomLance با به اشتراک‌گذاری برنامه‌های حاوی جاسوس‌افزار بر روی Play Store و انباره‌های جایگزین نظیر APKpure و APKCombo کاربران دستگاه‌های با سیستم عامل Android را هدف قرار داده‌اند.

بر اساس گزارشی که Kaspersky آن را منتشر کرده، این کارزار حداقل از سال ۲۰۱۵ فعال بوده و همچنان نیز در جریان است.
کارزار PhantomLance مجهز به چندین نسخه از یک جاسوس‌افزار پیچیده است که ضمن جمع‌آوری داده‌های کاربر از تاکتیک‌های هوشمندی همچون توزیع در قالب چندین برنامه از طریق انباره رسمی Google بهره می‌گیرد.
برخی منابع OceanLotus را که با نام APT ۳۲ نیز شناخته می‌شود گروهی متشکل از مهاجمان ویتنامی می‌دانند.
بر اساس آمار Kaspersky در سال‌های ابتدایی ظهور این کارزار کاربران ویتنامی و پس از آن با اختلافی زیاد کاربران چینی بیشترین تأثیر را از PhantomLance پذیرفتند. اما از سال ۲۰۱۶ دامنه این آلودگی‌ها فراتر رفته و کاربران در کشور‌های بیشتری با آن مواجه شده‌اند.
نمونه بدافزار‌های مشابهی نیز بعداً توسط Kaspersky در چندین برنامه توزیع شده بر روی Play Store و از نظر این محققان مرتبط با کارزار PhantomLance شناسایی شدند که در قالب سلسله حملاتی هدفمند اقدام به استخراج اطلاعاتی شامل موقعیت جغرافیایی، سوابق تماس‌ها، فهرست تماس افراد، پیامک‌ها، برنامه‌های نصب شده و اطلاعات دستگاه می‌کرده‌اند.
علاوه بر آن، گردانندگان تهدید قادرند، انواع کد مخرب سازگار با مشخصه‌های دستگاه نظیر نسخه Android و برنامه‌های نصب شده را دریافت و اجرا کنند.
با این روش، مهاجمان بدون آنکه دستگاه را با قابلیت‌های غیرضروری و ناسازگار با ساختار آن درگیر کنند اطلاعات مورد نظر خود را با حداقل اشغال منابع استخراج می‌کنند.
برای عبور از سد کنترل‌های امنیتی، مهاجمان OceanLotus ابتدا نسخ فاقد هر گونه کد مخرب را بر روی انباره به‌اشتراک می‌گذاشتند. این رفتار پس از کشف نسخ برنامه‌های یکسان با و بدون کد مخرب تأیید شد.
نسخ مذکور به دلیل آنکه فاقد هر گونه مورد مشکوکی بودند به‌سادگی به انباره راه می‌یافتند. اما در ادامه به نسخه‌ای به‌روز می‌شدند که هم برنامه را حاوی کد مخرب می‌کرد و هم امکان دریافت کد‌های مخرب دیگر را از طریق برنامه فراهم می‌کرد.
کارشناسان معاونت بررسی مرکز افتا می‌گویند: این واقعیت که برنامه‌های مخرب هنوز در بازار‌های ثالث در دسترس قرار دارند از آنجا ناشی می‌شود که بسیاری از آن‌ها با اجرای عملیات موسوم به Mirroring از برنامه‌های موجود بر روی Play Store رونوشت تهیه می‌کنند.
بیش از ۵ سال است که PhantomLance فعال است و گردانندگان آن‌ها توانسته‌اند با استفاده از تکنیک‌های پیشرفته در چندین نوبت از سد سازوکار‌های کنترلی انباره‌های به‌اشتراک‌گذاری برنامه‌های Android گذشته و راه را برای رسیدن به اهدافشان هموار کنند.
کارشناسان Kaspersky معتقدند: بیشتر تمرکز مهاجمان بر روی بستر‌های موبایل و استفاده از آن‌ها به‌عنوان نقطه اصلی آلوده‌سازی است و آن را نشانه‌ای از استقبال گسترده تبهکاران سایبری از این حوزه می‌دانند.