اپلیکیشن

تلفن همراه

May 5, 2020

16:04 سه شنبه، 16ام اردیبهشتماه 1399

کد خبر: 111531

کشف بک‌دُر اندرویدی به نام PhantomLance در گوگل‌پلی

جولای گذشته، Doctor Web یک بک‌در تروجان به نام PhantomLance در گوگل‌پلی کشف کردند. چنین کشفیاتی چیزهایی نیستند که هر روز رخ دهند و مدام با آن‌ها روبرو شویم؛ اما خوب بالاخره کم هم نیستند کسانی که از ماهیت آن‌ها باخبر باشند- محققین شاید صدها بار تروجان‌ها را در گوگل‌پلی پیدا کرده باشند.

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ با این حال، این تروجان به طور شگفت‌انگیزی پیچیده‌تر از بدافزارهایی بود که تا به حال در گوگل‌پلی کشف شده‌اند. بنابراین متخصصین ما تصمیم گرفتند روی این تروجان عمیق‌تر شوند. در ادامه با ما همراه شوید تا مبسوط به معرفی، نحوه‌ی عملکرد و راهکارهای امنیتی جهت مقابله با PhantomLance بپردازیم.

محققین کسپرسکی شروع کردند به انجام تحقیقات شخصی‌شان روی این تروجان و در نهایت پی بردند این بدافزار بخشی از کمپین مخربی (که ما نامش را PhantomLance گذاشته‌ایم) بوده که از اواخر سال 2015 ادامه داشته است.

چه کارهایی از PhantomLance برمی‌آید؟

در حقیقت متخصصین چندین نسخه از PhantomLance را کشف کرده‌اند. با وجود پیچیدگی رو به فزونیِ آن‌ها و تفاوت‌ در زمان ظهورشان، آن‌ها تا حد زیادی از حیث قابلیت‌ها به همدیگر شباهت دارند. هدف اصلی PhantomLance جمع‌اوری اطلاعات محرمانه از دستگاه قربانیست. این بدافزار قادر است به مجرمین سایبری امکان دسترسی به اطلاعات لوکیشن، لاگ‌هایت ماس، پیام‌های متنی و فهرست‌هایی از اپ‌های نصب‌شده و اطلاعاتی کامل از اسمارت‌فون آلوده را بدهد. علاوه بر این، کارکرد آن می‌تواند هر زمان تنها با لود کردن ماژول‌های اضافی از سرور C&C توسعه داده شود.

توزیع PhantomLance

گوگل‌پلی پلت‌فرم توزیع اصلی این بدافزار است. همچنین در ذخایر طرف‌سوم نیز یافت شده است اما بیشتر آن‌ها خود تنها بازتابی هستند از اپ‌استور رسمی گوگل. با اطمینان می‌توان گفت اپ‌های آلوده‌شده توسط نسخه‌ای از این تروجان در تابستان 2018 شروع به ظهور کردند. این بدافزار زمانی کشف شد که خود را زیر ابزارهایی برای تغییر فونت‌ها، از میان برداشتن آگهی‌ها، پاکسازی سیستم و غیره پنهان می‌کرد.

اپ‌هایی حاوی PhantomLance همگی از آن زمان به بعد از گوگل‌پلی حذف شدند اما کپی‌ها می‌توانند همچنان در بازتاب‌ها یافت شوند. به طور کنایی برخی از این ذخایر بازتاب‌ حاکی از این می‌باشند که پکیج نصب مستقیماً از گوگل‌پلی دانلود شده است و بنابراین قطعاً عاری از هر گونه ویروس است. سوال این است که مجرمان سایبری چطور توانستند به فروشگاه رسمی گوگل راه پیدا کنند؟ خوب ابتدا، مهاجمین برای قانونی‌تر جلوه دادن اقدام خود پروفایل هر یک از توسعه‌دهندگان را روی GitHub ساختند. این پروفایل‌ها تنها حاوی بخشی از توافق‌نامه مجوز بودند. با این حال، داشتن پروفایل در GitHub ظاهراً به توسعه‌دهندگان نوعی تشخص می‌داد. دوم اینکه اپ‌هایی که سازندگان PhantomLance ابتدا در فروشگاه آپلود کرده بودند مخرب نبودند. نسخه‌های اولیه‌ی این برنامه‌ها حاوی ویژگی‌های مشکوکی هم نبودند؛ بنابراین از چک‌های گوگل‌پلی سربلند بیرون آمدند. درست کمی بعد بود که با آپدیت‌ها اپ‌ها خاصیت مخرب پیدا کردند.

اهداف PhantomLance

ما با سنگین و سبک کردن جغرافیای شیوع آن و نیز حضور نسخه‌هایی ویتنامی این اپ‌های آلوده در فروشگاه‌های آنلاین به این نظر رسیدیم که هدف‌های اصلی سازندگان PhantomLance کاربران ویتنامی بوده است. افزون بر این، متخصصین ما تعدادی مشخصه از PhantomLance شناسایی کردند که آن را به گروه OceanLotus ربط می‌دهد؛ گروهی مسئول ساخت طیفی از بدافزارها که از قضا آن‌ها هم هدفشان کاربران ویتنامی بود. مجموعه ابزارهای بدافزار OceanLotus که پیشتر تحلیل شدند شامل خانواده‌ای از بک‌درهای macOS، خانواده‌ای از بک‌درهای ویندوزی و مجموعه‌ای از تروجان‌های اندروید (که فعالیت‌شان بین سال‌های 2014- 2017 مشاهده شد) می‌شوند. متخصصین ما در نهایت به این نتیجه رسیدند که PhantomLance اوایل سال 2016 با تروجان‌های اندرویدی -که در فوق ذکر کردیم- به کامیابی رسید.

راهکارهایی برای مقابله با PhantomLance

یکی از توصیه‌هایی که مدام در پست‌ها در مورد بدافزارهای اندرویدی تکرار می‌کنیم این است که تنها اپ‌ها را از گوگل‌پلی نصب کنید. اما PhantomLance نشان داد این بدافزار می‌تواند برخی‌اوقات حتی با ترفندهای زیرکانه‌اش غول‌های بزرگ اینترنتی را هم فریب دهند. گوگل برای مصون نگه داشتن اپ‌های خود زحمت‌های فراوان می‌کشد اما قابلیت‌های این شرکت هم بالاخره سقفی دارد و خوب این را هم در نظر داشته باشید که مهاجمین بسیار خلاق و مبدع هستند. بنابراین، اینکه اپی روی گوگل‌پلی گذاشته شده است نمی‌تواند 100% امنیت آن را تضمین دهد. همیشه عوامل دیگر را هم مد نظر خود قرار دهید:

• اولویت‌ها را روی اپ‌هایی قرار دهید که از سوی توسعه‌دهندگان قابل‌اعتماد باشند.

• به رتبه‌بندی‌ها و تحلیل‌های کاربری توجه داشته باشید.

• به مجوزهایی که اپ درخواست می‌کند حسابی توجه کنید و اگر فکر کردید در درخواست‌ها طمع زیادی دارد در منع مجوز دادن لحظه‌ای درنگ نکنید. برای مثال، یک اپ آب و هوا شاید نیازی به دسترسی کانتکت‌ها و پیام‌ها نداشته باشد و به طور مشابهی شاید یک اپ فیلتر عکس هم شاید نیازی به موقعیت مکانی کاربر نداشته باشد.

• با یک راهکار امنیتی مطمئن اپ‌های خود را که روی دستگاه اندرویدی خود نصب کردید اسکن کنید.

در این زمینه از آرشیو ایستنا:

مشترک شوید!

برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.