حملة تجسس إلكتروني معقدة تستهدف أجهزة أندرويد في جنوب شرق آسيا
اكتشف باحثو كاسبرسكي حملة تخريبية معقدة تستهدف مستخدمي الأجهزة العاملة بالنظام "أندرويد". والتي يمكن القول إنها تُعزى إلى الجهة التخريبية OceanLotus المتخصصة بالتهديدات المتقدمة المستمر.
وتنشط الحملة التي أطلق عليها اسم PhantomLance منذ العام 2015 على الأقل ، وتتميّز بإصدارات متعدّدة من برمجيات التجسس المعقدة، التي تجمع بيانات الضحايا ، وتتبع أساليب توزيع ذكية تشمل التوزيع عبر عشرات التطبيقات الموجودة في متجر Google Play الرسمي.
وكان باحثون أمنيون تابعون لإحدى الجهات، في يوليو 2019 عن وجود عيّنة جديدة من برمجية تجسس عُثر عليها في متجر Google Play. وجذب التقرير انتباه كاسبرسكي بسبب المزايا غير المتوقعة لهذه العينة، التي اختلف مستوى تعقيدها وسلوكها اختلافًا تامًّا عن التروجانات الشائعة في متاجر التطبيقات الرسمية. وتمكن باحثو كاسبرسكي من العثور على عينة أخرى مشابهة لهذه البرمجية الخبيثة على Google Play.
بالاسعار.. المواصفات الكاملة لجميع حاسبات أيسر الجديدة
وعادة ما يستثمر منشئو البرمجيات الخبيثة موارد كبيرة في الترويج لها لزيادة عدد عمليات تنزيلها وتثبيتها إذا تمكّنوا من تحميلها إلى متجر رسمي للتطبيقات، وبالتالي زيادة عدد الضحايا إلاّ أن واقع الحالة المكتشفة حديثًا كان مغايرًا؛ فقد بدا أن الجهة الكامنة وراءها غير مكترثة بنشرها على نطاق الواسع، وهو ما وجد فيه الباحثون تلميحًا إلى نشاط تخريبي موجّه.
ومكّن البحث الإضافي من اكتشاف عدّة إصدارات من هذه البرمجية الخبيثة وعشرات العيناتمنها، متصلة بأوجه تشابه برمجي متعددة.
ووجد الخبراء أن وظائف جميع العينات كانت متشابهة، وأن الغرض الرئيس منها تمثّل في جمع المعلومات.
وتضمنت الوظائف الأساسية للبرمجية، على الرغم من عدم اتساعها، تحديد الموقع الجغرافي وسجلات المكالمات والوصول إلى جهات الاتصال وإلى الرسائل النصية القصيرة ، كما أمكنها جمع قائمة بالتطبيقات المثبتة على الجهاز ، بالإضافة إلى معلومات الجهاز نفسه، مثل الطراز وإصدار نظام التشغيل. وعلاوة على ذلك، كانت الجهة التخريبية قادرة على تنزيل وتنفيذ حمولات خبيثة مختلفة (الأجزاء المنفّذة للعمل الخبيث في البرمجية خبيثة)، وبالتالي تكييف الحمولة لتناسب بيئة الجهاز المحددة، مثل إصدار أندرويد والتطبيقات المثبتة.
وبهذه الطريقة تمكنت الجهة التخريبية من تجنّب التحميل الزائد للتطبيق الخبيث بمزايا غير ضرورية وفي الوقت نفسه ضمنت جمع المعلومات اللازمة لها.
ووجدت المزيد من الأبحاث أن حملة PhantomLance وُزّعت في الأساس علىالعديد من المنصات ومتاجر التطبيقات، مثل Google Play وAPKpure، على سبيل المثال لا الحصر.
وحاولت جهة التهديد في كل حالة تقريبًا من حالات نشر تطبيق البرمجية الخبيثة ، إنشاء ملف تعريف مزيّف للمطوِّر عبر إنشاء حساب Github مرتبط بالتطبيق، وذلك لجعل تطبيقاتهم تبدو سليمة، في حين لم تحتوِالإصدارات الأولى من التطبيق والتي رفعتها الجهة التخريبية إلى متاجر التطبيقات على أية حمولات خبيثة، وذلك من أجل التهرب من آليات التصفية التي تستخدمها تلك المتاجر.
لكن التطبيقات حملت في التحديثات اللاحقة حمولات خبيثة وبرمجية لتنزيل هذه الحمولات وتنفيذها.
