اپلیکیشن

تلفن همراه

May 3, 2020
14:38 یکشنبه، 14ام اردیبهشتماه 1399
کد خبر: 111435

سال‌ها انتشار جاسوس‌افزار از طریق پلی‌استور

 
مهاجمان در حمله‌ای با نام فانتوم‌لنس با به‌ اشتراک‌گذاری برنامه‌های حاوی جاسوس‌افزار روی فروشگاه‌های آنلاینی همچون پلی‌استور، کاربران دستگاه‌های با سیستم عامل اندروید را هدف قرار می‌دهند.
 
 بسیاری از برنامه‌هایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر می­‌شوند، از روی برنامه‌های منبع باز ساخته شده‌اند. بسیاری از این برنامه‌ها صرفاً با تغییر نام و آیکون به‌عنوان برنامه‌های گوناگون و با هدف استفاده از سرویس­‌های تبلیغاتی داخل این برنامه­‌ها و درآمدزایی برای منتشرکننده برنامه، تولید می‌شوند. این برنامه‌ها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.
 
البته در حالی‌که پلی‌استور در دومین رتبه لیست آپلود بدافزارهای جدید قرار دارد، تاثیر این فروشگاه آنلاین بر دانلود برنامه‌های مخرب توسط کاربران اندرویدی ظاهرا کمتر است. گوگل با وجود اینکه به بسیاری از برنامه‌های مخرب اجازه ورود به پلی‌استور خود را می‌دهد، برای پیدا کردن این برنامه‌های مخرب هم تلاش زیادی می‌کند و سرعت آن بهبود یافته، به‌طوری که تعداد برنامه‌های مخرب در این فروشگاه در سال ۲۰۱۹، ۷۶.۴ درصد کاهش داشته است.
 
به‌تازگی مهاجمان در حمله‌ای با نام فانتوم‌لنس (PhantomLance) با به‌ اشتراک‌گذاری برنامه‌های حاوی جاسوس‌افزار روی پلی‌استور و فروشگاه‌های جایگزین مانند APKpure و APKCombo کاربران دستگاه‌های با سیستم عامل اندروید را هدف قرار ‌داده‌اند. این کارزار حداقل از سال ۲۰۱۵ فعال بوده و همچنان نیز در جریان است. حمله فانتوم‌لنس مجهز به چندین نسخه از یک جاسوس‌افزار پیچیده است که ضمن جمع‌آوری داده‌های کاربر از تاکتیک‌های هوشمندی همچون توزیع در قالب چندین برنامه از طریق فروشگاه آنلاین رسمی گوگل بهره می‌گیرد.
 
بر اساس گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری که کسپراسکای آن را منتشر کرده، برخی منابع OceanLotus را که با نام APT32 نیز شناخته می‌شود گروهی متشکل از مهاجمان ویتنامی می‌دانند. بر اساس آمار کسپراسکای در سال‌های ابتدایی ظهور این کارزار کاربران ویتنامی و پس از آن با اختلافی زیاد کاربران چینی بیشترین تأثیر را از فانتوم‌لنس پذیرفتند. اما از سال ۲۰۱۶ دامنه این آلودگی‌ها فراتر رفته و کاربران در کشورهای بیشتری با آن مواجه شده‌اند.
 
نمونه بدافزارهای مشابهی نیز بعداً توسط کسپراسکای در چندین برنامه توزیع شده روی پلی‌استور و از نظر این محققان مرتبط با حمله فانتوم‌لنس شناسایی شدند که در قالب سلسله حملاتی هدفمند اقدام به استخراج اطلاعاتی شامل موقعیت جغرافیایی، سوابق تماس‌ها، فهرست تماس افراد، پیامک‌ها، برنامه‌های نصب شده و اطلاعات دستگاه می‌کرده‌اند. علاوه بر آن، گردانندگان تهدید قادرند، انواع کد مخرب سازگار با مشخصه‌های دستگاه نظیر نسخه اندروید و برنامه‌های نصب‌شده  را دریافت و اجرا کنند.
 
با این روش، مهاجمان بدون آنکه دستگاه را با قابلیت‌های غیرضروری و ناسازگار با ساختار آن درگیر کنند اطلاعات مورد نظر خود را با حداقل اشغال منابع استخراج می‌کنند. برای عبور از سد کنترل‌های امنیتی، مهاجمان OceanLotus ابتدا نسخه‌های فاقد هرگونه کد مخرب را روی فروشگاه آنلاین به‌اشتراک می‌گذاشتند. این رفتار پس از کشف نسخ برنامه‌های یکسان با و بدون کد مخرب تأیید شد.
 
نسخه‌های مذکور به دلیل آنکه فاقد هرگونه مورد مشکوکی بودند به‌سادگی به فروشگاه آنلاین راه می‌یافتند. اما در ادامه به نسخه‌ای به‌روز می‌شدند که هم برنامه را حاوی کد مخرب می‌کرد و هم امکان دریافت کدهای مخرب دیگر را از طریق برنامه فراهم می‌کرد. کارشناسان معاونت بررسی مرکز افتا می‌گویند: این واقعیت که برنامه‌های مخرب هنوز در بازارهای ثالث در دسترس قرار دارند از آنجا ناشی می‌شود که بسیاری از آنها با اجرای عملیات موسوم به Mirroring از برنامه‌های موجود روی پلی‌استور رونوشت تهیه می‌کنند.
 
بیش از پنج سال است که فانتوم‌لنس فعال است و گردانندگان آنها توانسته‌اند با استفاده از تکنیک‌های پیشرفته در چندین نوبت از سد سازوکارهای کنترلی انباره‌های به‌اشتراک‌گذاری برنامه‌های اندروید گذشته و راه را برای رسیدن به اهدافشان هموار کنند. کارشناسان کسپراسکای معتقدند: بیشتر تمرکز مهاجمان روی بسترهای موبایل و استفاده از آنها به‌عنوان نقطه اصلی آلوده‌سازی است و آن را نشانه‌ای از استقبال گسترده تبهکاران سایبری از این حوزه می‌دانند.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.