سال ها انتشار جاسوس افزار بوسیله پلی استور
ابرنت: مهاجمان در حمله ای با نام فانتوم لنس با به اشتراك گذاری برنامه های حاوی جاسوس افزار روی فروشگاه های آنلاینی همچون پلی استور، كاربران دستگاه های با سیستم عامل اندروید را هدف قرار می دهند.
به گزارش ابرنت به نقل از ایسنا، خیلی از برنامه هایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر می شوند، از روی برنامه های منبع باز ساخته شده اند. خیلی از این برنامه ها فقط با تغییر نام و آیکون بعنوان برنامه های گوناگون و با هدف استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی برای منتشرکننده برنامه، تولید می شوند. این برنامه ها در عمل هیچ کارایی نداشته و حتی ممکنست بدافزار باشند.
البته در صورتیکه پلی استور در دومین رتبه فهرست آپلود بدافزارهای جدید قرار دارد، تاثیر این فروشگاه آنلاین بر دانلود برنامه های مخرب توسط کاربران اندرویدی ظاهرا کمتر است. گوگل با وجود اینکه به خیلی از برنامه های مخرب اجازه ورود به پلی استور خودرا می دهد، برای پیدا کردن این برنامه های مخرب هم تلاش زیادی می کند و سرعت آن بهبود یافته، بطوریکه تعداد برنامه های مخرب در این فروشگاه در سال ۲۰۱۹، ۷۶.۴ درصد کاهش داشته است.
اخیرا مهاجمان در حمله ای با نام فانتوم لنس (PhantomLance) با به اشتراک گذاری برنامه های حاوی جاسوس افزار روی پلی استور و فروشگاه های جایگزین مانند APKpure و APKCombo کاربران دستگاه های با سیستم عامل اندروید را هدف قرار داده اند. این کارزار حداقل از سال ۲۰۱۵ فعال بوده و همچنان نیز در جریان است. حمله فانتوم لنس مجهز به چندین نسخه از یک جاسوس افزار پیچیده است که ضمن جمع آوری داده های کاربر از تاکتیک های هوشمندی همچون توزیع در چارچوب چندین برنامه بوسیله فروشگاه آنلاین رسمی گوگل بهره می گیرد.
طبق گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری که کسپراسکای آنرا منتشر نموده، برخی منابع OceanLotus را که با نام APT32 نیز شناخته می شود گروهی متشکل از مهاجمان ویتنامی می دانند. برمبنای آمار کسپراسکای در سال های ابتدایی ظهور این کارزار کاربران ویتنامی و بعد از آن با اختلافی زیاد کاربران چینی بیشترین تأثیر را از فانتوم لنس پذیرفتند. اما از سال ۲۰۱۶ دامنه این آلودگی ها فراتر رفته و کاربران در کشورهای بیشتری با آن مواجه گشته اند.
نمونه بدافزارهای مشابهی نیز بعداً توسط کسپراسکای در چندین برنامه توزیع شده روی پلی استور و از نظر این پژوهشگران در رابطه با حمله فانتوم لنس شناسایی شدند که در چارچوب سلسله حملاتی هدفمند مبادرت به استخراج اطلاعاتی شامل موقعیت جغرافیایی، سوابق تماس ها، لیست تماس افراد، پیامک ها، برنامه های نصب شده و اطلاعات دستگاه می کرده اند. علاوه بر آن، گردانندگان تهدید قادرند، انواع کد مخرب سازگار با مشخصه های دستگاه نظیر نسخه اندروید و برنامه های نصب شده را دریافت و اجرا کنند.
با این روش، مهاجمان بدون آنکه دستگاه را با قابلیت های غیرضروری و ناسازگار با ساختار آن درگیر کنند اطلاعات مورد نظر خودرا با حداقل اشغال منابع استخراج می کنند. برای عبور از سد کنترل های امنیتی، مهاجمان OceanLotus ابتدا نسخه های فاقد هرگونه کد مخرب را روی فروشگاه آنلاین به اشتراک می گذاشتند. این رفتار بعد از کشف نسخ برنامه های یکسان با و بدون کد مخرب تأیید شد.
نسخه های مذکور به سبب آنکه فاقد هرگونه مورد مشکوکی بودند بسادگی به فروشگاه آنلاین راه می یافتند. اما در ادامه به نسخه ای به روز می شدند که هم برنامه را حاوی کد مخرب می کرد و هم امکان دریافت کدهای مخرب دیگر را بوسیله برنامه فراهم می کرد. کارشناسان معاونت بررسی مرکز افتا می گویند: این واقعیت که برنامه های مخرب هنوز در بازارهای ثالث در دسترس قرار دارند از آنجا ناشی می شود که خیلی از آنها با اجرای عملیات موسوم به Mirroring از برنامه های موجود روی پلی استور رونوشت تهیه می کنند.
بیش از پنج سال است که فانتوم لنس فعال است و گردانندگان آنها توانسته اند با بهره گیری از تکنیک های پیشرفته در چندین نوبت از سد سازوکارهای کنترلی انباره های به اشتراک گذاری برنامه های اندروید گذشته و راه را برای رسیدن به اهدافشان هموار کنند. کارشناسان کسپراسکای معتقدند: بیشتر تمرکز مهاجمان روی بسترهای موبایل و استفاده از آنها بعنوان نقطه اصلی آلوده سازی است و آنرا نشانه ای از استقبال گسترده تبهکاران سایبری از این حوزه می دانند.
منبع: ابرنت
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب