مهاجمان در کارزاری با نام PhantomLance با به‌اشتراک‌گذاری برنامه‌های حاوی جاسوس‌افزار بر روی Play Store و انباره‌های جایگزین نظیر APKpure و APKCombo کاربران دستگاه‌های با سیستم عامل Android را مورد هدف قرار می‌داده‌اند.
به گزارش معاونت بررسی مرکز افتا، بر اساس گزارشی که Kaspersky آن را منتشر کرده PhantomLance اشتراکاتی با کارزارهای قبلی OceanLotus که در آن‌ها کاربران Windows و macOS مورد حمله قرار می‌گرفتند دارد. برخی منابع OceanLotus را که با نام APT۳۲ نیز شناخته می‌شود گروهی متشکل از مهاجمان ویتنامی می‌دانند.
این کارزار حداقل از سال ۲۰۱۵ فعال بوده و همچنان نیز در جریان است. PhantomLance مجهز به چندین نسخه از یک جاسوس‌افزار پیچیده است که ضمن جمع‌آوری داده‌های کاربر از تاکتیک‌های هوشمندی همچون توزیع در قالب چندین برنامه از طریق انباره رسمی Google بهره می‌گیرد.
محققان Kaspersky پس از آن، PhantomLance را کشف کردند که شرکت Doctor Web گزارش زیر را در خصوص یک تروجان درب‌پشتی (Backdoor-Trojan) منتشر کرد. Doctor Web تروجان مذکور را که بر روی Play Store شناسایی کرده بود بسیار پیچیده‌تر از بدافزارهای متداولی می‌دانست که برای سرقت اطلاعات مالی و اطلاعات اصالت‌سنجی کاربران جنوب شرق آسیا توسط تبهکاران سایبری به کار گرفته می‌شدند.
محققان Antiy Labs نیز در گزارشی که در لینک زیر قابل دریافت است به کارزاری بدافزاری که در ماه می سال ۲۰۱۹ توسط گروه OceanLotus اجرا شد پرداخته بودند.
در تحقیقی دیگر محققان BlackBerry دریافتند که بدافزار ساخت OceanLotus طی سال ۲۰۱۹ در کارزاری که از آن با عنوان Operation OceanMobile یاد شده از طریق Play Store منتشر می‌شده است. نتایج این تحقیق BlackBerry در لینک زیر قابل مطالعه است:
بر اساس آمار Kaspersky در سال‌های ابتدایی ظهور این کارزار کاربران ویتنامی و پس از آن با اختلافی زیاد کاربران چینی بیشترین تأثیر را از PhantomLance پذیرفتند. اما از سال ۲۰۱۶ دامنه این آلودگی‌ها فراتر رفته و کاربران در کشورهای بیشتری با آن مواجه شده‌اند.
 
نمونه بدافزارهای مشابهی نیز بعداً توسط Kaspersky در چندین برنامه توزیع شده بر روی Play Store و از نظر این محققان مرتبط با کارزار PhantomLance شناسایی شدند که در قالب سلسله حملاتی هدفمند اقدام به استخراج اطلاعاتی شامل موقعیت جغرافیایی، سوابق تماس‌ها، فهرست تماس افراد، پیامک‌ها، برنامه‌های نصب شده و اطلاعات دستگاه می‌کرده‌اند.
علاوه بر آن، گردانندگان تهدید قادر به دریافت و اجرای انواع کد مخرب سازگار با مشخصه‌های دستگاه نظیر نسخه Android و برنامه‌های نصب شده هستند.
با این روش، مهاجمان بدون آنکه دستگاه را با قابلیت‌های غیرضروری و ناسازگار با ساختار آن درگیر کنند اطلاعات مورد نظر خود را با حداقل اشغال منابع استخراج می‌کنند.
جدول زیر فهرست برنامه‌های Android حاوی نمونه بدافزارهای PhantomLance را نمایش می‌دهد که بر روی Play Store به‌اشتراک گذاشته شده بودند. این برنامه‌ها در نهایت در نوامبر ۲۰۱۹ از روی این انباره حذف شدند.
 
عنوان بسته تاریخ آغاز به‌اشتراک‌گذاری بر روی Google Play
com.zimice.browserturbo 2019-11-06
com.physlane.opengl 2019-07-10
com.unianin.adsskipper 2018-12-26
com.codedexon.prayerbook 2018-08-20
com.luxury.BeerAddress 2018-08-20
com.luxury.BiFinBall 2018-08-20
com.zonjob.browsercleaner 2018-08-20
com.linevialab.ffont 2018-08-20

در حالی که برنامه‌های درب‌پشتی شناسایی شده توسط Kaspersky از روی Play Store حذف شده‌اند اما این موضوع در خصوص انباره‌های دیگر غیررسمی همچون https://apkcombo[.]com، https://apk[.]support، https://apkpure[.]com، https://apkpourandroid[.]com و بسیاری دیگر که جاسوس‌افزار PhantomLance از طریق آنها توزیع می‌شده لزوماً صادق نیست.
برای عبور از سد کنترل‌های امنیتی، مهاجمان OceanLotus ابتدا نسخ فاقد هر گونه کد مخرب را بر روی انباره به‌اشتراک می‌گذاشتند. این رفتار پس از کشف نسخ برنامه‌های یکسان با و بدون کد مخرب تأیید شد.
نسخ مذکور به دلیل آنکه فاقد هر گونه مورد مشکوکی بودند به‌سادگی به انباره راه می‌یافتند. اما در ادامه به نسخه‌ای به‌روز می‌شدند که هم برنامه را حاوی کد مخرب می‌کرد و هم امکان دریافت کدهای مخرب دیگر را از طریق برنامه فراهم می‌کرد.
این واقعیت که برنامه‌های مخرب هنوز در بازارهای ثالث در دسترس قرار دارند از آنجا ناشی می‌شود که بسیاری از آنها با اجرای عملیات موسوم به Mirroring از برنامه‌های موجود بر روی Play Store رونوشت تهیه می‌کنند.
بیش از ۵ سال است که PhantomLance فعال است و گردانندگان آنها توانسته‌اند با استفاده از تکنیک‌های پیشرفته در چندین نوبت از سد سازوکارهای کنترلی انباره‌های به‌اشتراک‌گذاری برنامه‌های Android گذشته و راه را برای رسیدن به اهدافشان هموار کنند.
Kaspersky تمرکز مهاجمان بیشتر بر روی بسترهای موبایل و استفاده از آنها به‌عنوان نقطه اصلی آلوده‌سازی را نشانه‌ای از استقبال گسترده تبهکاران سایبری از این حوزه می‌داند.
مشروح گزارش Kaspersky در لینک زیر قابل دریافت و مطالعه است:
نشانه‌های آلودگی (IoC):
درهم‌ساز (Hash)
•    ۲e۰۶bbc۲۶۶۱۱۳۰۵b۲۸b۴۰۳۴۹a۶۰۰f۹۵c
•    b۱۹۹۰e۱۹efaf۸۸۲۰۶f۷bffe۹df۰d۹۴۱۹
•    ۷۰۴۸d۵۶d۹۲۳e۰۴۹ca۷f۳d۹۷fb۵ba۹۸۱۲
•    e۶۴۸a۲cc۸۲۶۷۰۷aec۳۳۲۰۸۴۰۸b۸۸۲e۳۱
•    ۳۲۸۵ae۵۹۸۷۷c۶۲۴۱۲۰۰f۷۸۴b۶۲۵۳۱۶۹۴
•    ۸d۵c۶۴fdaae۷۶bb۷۴۸۳۱c۰۵۴۳a۷۸۶۵c۳
•    ۶bf۹b۸۳۴d۸۴۱b۱۳۳۴۸۸۵۱f۲dc۰۳۳۷۷۳e
•    ۰d۵c۰۳da۳۴۸dce۵۱۳bf۵۷۵۵۴۵۴۹۳f۳e۳
•    ۰e۷c۲adda۳bc۶۵۲۴۲a۳۶۵ef۷۲b۹۱f۳a۸
•    a۷۹۵f۶۶۲d۱۰۰۴۰۷۲۸e۹۱۶e۱fd۷۵۷۰c۱d
•    d۲۳۴۷۲f۴۷۸۳۳۰۴۹۰۳۴۰۱۱cad۶۸۹۵۸b۴۶
•    ۸b۳۵b۳۹۵۶۰۷۸fc۲۸e۵۷۰۹c۵۴۳۹e۴dcb۰
•    af۴۴bb۰dd۴۶۴۶۸۰۳۹۵۲۳۰ade۰d۶۴۱۴cd
•    ۶۵d۳۹۹e۶a۷۷acf۷e۶۳ba۷۷۱۸۷۷f۹۶f۸e
•    ۷۹f۰۶cb۹۲۸۱۱۷۷a۵۱۲۷۸b۲a۳۳۰۹۰c۸۶۷
•    b۱۰۷c۳۵b۴ca۳e۵۴۹bdf۱۰۲de۹۱۸۷۴۹ba
•    ۸۳cd۵۹e۳ed۱ba۱۵f۷a۸cadfe۹۱۸۳e۱۵۶
•    c۳۹۹d۹۳۱۴۶f۳d۱۲feb۳۲da۲۳b۷۵۳۰۴ba
•    ۸۳c۴۲۳c۳۶ecda۳۱۰۳۷۵e۸a۱f۴۳۴۸a۳۵e
•    ۹۴a۳ca۹۳f۱۵۰۰b۵bd۷fd۰۲۰۵۶۹e۴۶۵۸۹
•    ۵۴۷۷۷۰۲۱c۳۴b۰aed۲۲۶۱۴۵fde۸۴۲۴۹۹۱
•    ۸۷۲a۳dd۲cd۵e۰۱۶۳۳b۵۷fa۵b۹ac۴۶۴۸d
•    ۲۴۳e۲c۶۴۳۳۸۱۵f۲ecc۲۰۴ada۴۸۲۱e۷d۶
•    a۳۳۰۴۵۶d۷ca۲۵c۸۸۰۶۰dc۱۵۸۰۴۹f۳۲۹۸
•    a۰۹۷b۸d۴۹۳۸۶c۸aab۰bb۳۸bbfdf۳۱۵b۲
•    ۷۲۸۵f۴۴fa۷۵c۳c۷a۲۷bbb۴۸۷۰fc۰cdca
•    b۴۷۰۶f۱۷۱cf۹۸۷۴۲۴۱۳d۶۴۲b۶ae۷۲۸dc
•    ۸۰۰۸bedaaebc۱۲۸۴b۱b۸۳۴c۵fd۹a۷a۷۱
•    ۰e۷b۵۹b۶۰۱a۱c۷ecd۶f۲f۵۴b۵cd۸۴۱۶a
•    ۰e۷c۲adda۳bc۶۵۲۴۲a۳۶۵ef۷۲b۹۱f۳a۸
•    ۵۰bfd۶۲۷۲۱b۴f۳۸۱۳c۲d۲۰b۵۹۶۴۲f۰۲۲
•    ۵۰۷۹cb۱۶۶df۴۱۲۳۳a۱۰۱۷d۵e۰۱۵۰c۱۷a
•    ۸۱۰ef۷۱bb۵۲ea۵c۳cfe۵۸b۸e۰۰۳۵۲۰dc
•    c۶۳۰ab۷b۵۱f۰c۰fa۳۸a۴a۰f۴۵c۷۹۳e۲۴
•    ce۵bae۸۷۱۴ddfca۹eb۳bb۲۴ee۶۰f۰۴۲d
•    d۶۱c۱۸e۵۷۷cfc۰۴۶a۶۲۵۲۷۷۵da۱۲۲۹۴f
•    fe۱۵c۰eacdbf۵a۴۶bc۹b۲af۹c۵۵۱f۸۶a
•    ۰۷e۰۱c۲fa۰۲۰۷۲۴۸۸۷fc۳۹e۵c۹۷eccee
•    ۲e۴۹۷۷۵۵۹۹۹۴۲۸۱۵ab۸۴d۹de۱۳e۳۳۸b۳
•    ۳۱۵f۸e۳da۹۴۹۲۰۲۴۸۶۷۶b۰۹۵۷۸۶e۲۶ad
•    ۶۴۱f۰cc۰۵۷e۲ab۴۳f۵۴۴۴c۵۵۴۷e۸۰۹۷۶
سرورهای فرماندهی (C۲)
•    mine.remaariegarcia[.]com
•    egg.stralisemariegar[.]com
•    api.anaehler[.]com
•    cloud.anofrio[.]com
•    video.viodger[.]com
•    term.ursulapaulet[.]com
•    inc.graceneufville[.]com
•    log.osloger[.]biz
•    file.log۴jv[.]info
•    news.sqllitlever[.]info
•    us.jaxonsorensen[.]club
•    staff.kristianfiedler[.]club
•    bit.catalinabonami[.]com
•    hr.halettebiermann[.]com
•    cyn.ettebiermahalet[.]com
•    mtk.baimind[.]com
•    ming.chujong[.]com
•    mokkha.goongnam[.]com
•    ckoen.dmkatti[.]com
•    sadma.knrowz[.]com
•    itpk.mostmkru[.]com
•    aki.viperse[.]com
•    game۲۰۱۵[.]net
•    taiphanmemfacebookmoi[.]info
•    nhaccuatui.android.zyngacdn[.]com
•    quam.viperse[.]com
•    jang.goongnam[.]com


منبع
(با سپاس از همکاری شرکت مهندسی شبکه گستر در تهیه این گزارش)

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.