سال‌ها انتشار جاسوس‌افزار از طریق پلی‌استور!

به گزارش سیتنا، بسیاری از برنامه‌هایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر می­‌شوند، از روی برنامه‌های منبع باز ساخته شده‌اند. بسیاری از این برنامه‌ها صرفاً با تغییر نام و آیکون به‌عنوان برنامه‌های گوناگون و با هدف استفاده از سرویس­‌های تبلیغاتی داخل این برنامه­‌ها و درآمدزایی برای منتشرکننده برنامه، تولید می‌شوند. این برنامه‌ها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.

البته در حالی‌که پلی‌استور در دومین رتبه لیست آپلود بدافزارهای جدید قرار دارد، تاثیر این فروشگاه آنلاین بر دانلود برنامه‌های مخرب توسط کاربران اندرویدی ظاهرا کمتر است. گوگل با وجود اینکه به بسیاری از برنامه‌های مخرب اجازه ورود به پلی‌استور خود را می‌دهد، برای پیدا کردن این برنامه‌های مخرب هم تلاش زیادی می‌کند و سرعت آن بهبود یافته، به‌طوری که تعداد برنامه‌های مخرب در این فروشگاه در سال ۲۰۱۹، ۷۶.۴ درصد کاهش داشته است.

به‌تازگی مهاجمان در حمله‌ای با نام فانتوم‌لنس (PhantomLance) با به‌ اشتراک‌گذاری برنامه‌های حاوی جاسوس‌افزار روی پلی‌استور و فروشگاه‌های جایگزین مانند APKpure و APKCombo کاربران دستگاه‌های با سیستم عامل اندروید را هدف قرار ‌داده‌اند. این کارزار حداقل از سال ۲۰۱۵ فعال بوده و همچنان نیز در جریان است. حمله فانتوم‌لنس مجهز به چندین نسخه از یک جاسوس‌افزار پیچیده است که ضمن جمع‌آوری داده‌های کاربر از تاکتیک‌های هوشمندی همچون توزیع در قالب چندین برنامه از طریق فروشگاه آنلاین رسمی گوگل بهره می‌گیرد.

بر اساس گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری که کسپراسکای آن را منتشر کرده، برخی منابع OceanLotus را که با نام APT32 نیز شناخته می‌شود گروهی متشکل از مهاجمان ویتنامی می‌دانند. بر اساس آمار کسپراسکای در سال‌های ابتدایی ظهور این کارزار کاربران ویتنامی و پس از آن با اختلافی زیاد کاربران چینی بیشترین تأثیر را از فانتوم‌لنس پذیرفتند. اما از سال ۲۰۱۶ دامنه این آلودگی‌ها فراتر رفته و کاربران در کشورهای بیشتری با آن مواجه شده‌اند.

نمونه بدافزارهای مشابهی نیز بعداً توسط کسپراسکای در چندین برنامه توزیع شده روی پلی‌استور و از نظر این محققان مرتبط با حمله فانتوم‌لنس شناسایی شدند که در قالب سلسله حملاتی هدفمند اقدام به استخراج اطلاعاتی شامل موقعیت جغرافیایی، سوابق تماس‌ها، فهرست تماس افراد، پیامک‌ها، برنامه‌های نصب شده و اطلاعات دستگاه می‌کرده‌اند. علاوه بر آن، گردانندگان تهدید قادرند، انواع کد مخرب سازگار با مشخصه‌های دستگاه نظیر نسخه اندروید و برنامه‌های نصب‌شده  را دریافت و اجرا کنند.

با این روش، مهاجمان بدون آنکه دستگاه را با قابلیت‌های غیرضروری و ناسازگار با ساختار آن درگیر کنند اطلاعات مورد نظر خود را با حداقل اشغال منابع استخراج می‌کنند. برای عبور از سد کنترل‌های امنیتی، مهاجمان OceanLotus ابتدا نسخه‌های فاقد هرگونه کد مخرب را روی فروشگاه آنلاین به‌اشتراک می‌گذاشتند. این رفتار پس از کشف نسخ برنامه‌های یکسان با و بدون کد مخرب تأیید شد.

نسخه‌های مذکور به دلیل آنکه فاقد هرگونه مورد مشکوکی بودند به‌سادگی به فروشگاه آنلاین راه می‌یافتند. اما در ادامه به نسخه‌ای به‌روز می‌شدند که هم برنامه را حاوی کد مخرب می‌کرد و هم امکان دریافت کدهای مخرب دیگر را از طریق برنامه فراهم می‌کرد. کارشناسان معاونت بررسی مرکز افتا می‌گویند: این واقعیت که برنامه‌های مخرب هنوز در بازارهای ثالث در دسترس قرار دارند از آنجا ناشی می‌شود که بسیاری از آنها با اجرای عملیات موسوم به Mirroring از برنامه‌های موجود روی پلی‌استور رونوشت تهیه می‌کنند.

بیش از پنج سال است که فانتوم‌لنس فعال است و گردانندگان آنها توانسته‌اند با استفاده از تکنیک‌های پیشرفته در چندین نوبت از سد سازوکارهای کنترلی انباره‌های به‌اشتراک‌گذاری برنامه‌های اندروید گذشته و راه را برای رسیدن به اهدافشان هموار کنند. کارشناسان کسپراسکای معتقدند: بیشتر تمرکز مهاجمان روی بسترهای موبایل و استفاده از آنها به‌عنوان نقطه اصلی آلوده‌سازی است و آن را نشانه‌ای از استقبال گسترده تبهکاران سایبری از این حوزه می‌دانند.

انتهای پیام