PhantomLance حملة تجسس إلكتروني معقدة تستهدف أجهزة أندرويد

اكتشف باحثو كاسبرسكي حملة تخريبية معقدة تستهدف مستخدمي أجهزة أندرويد، ويمكن القول إنها تُعزى إلى الجهة التخريبية (OceanLotus) المتخصصة بالتهديدات المتقدمة، وتنشط الحملة التي أطلق عليها اسم (PhantomLance) منذ عام 2015 على الأقل، وتتميز بإصدارات متعددة من برمجيات التجسس المعقدة، التي تجمع بيانات الضحايا، وتتبع أساليب توزيع ذكية، تشمل التوزيع عبر عشرات التطبيقات الموجودة في متجر جوجل بلاي الرسمي.

وكان باحثون أمنيون تابعون لإحدى الجهات، أبلغوا في يوليو 2019 عن وجود عيّنة جديدة من برمجية تجسس عُثر عليها في متجر جوجل بلاي تستهدف الأجهزة العاملة بنظام أندرويد. وجذب التقرير انتباه كاسبرسكي بسبب المزايا غير المتوقعة لهذه العينة، التي اختلف مستوى تعقيدها وسلوكها اختلافًا تامًّا عن التروجانات الشائعة في متاجر التطبيقات الرسمية، وتمكن باحثو كاسبرسكي من العثور على عينة أخرى مشابهة لهذه البرمجية الخبيثة على جوجل بلاي. 

عادةً ما يستثمر منشئو البرمجيات الخبيثة موارد كبيرة في الترويج لها لزيادة عدد عمليات تنزيلها وتثبيتها، إذا تمكنوا من تحميلها إلى متجر رسمي للتطبيقات، ومن ثَمَّ زيادة عدد الضحايا. إلاّ أن واقع الحالة المكتشفة حديثًا كان مغايرًا؛ فقد بدا أن الجهة الكامنة وراءها غير مكترثة بنشرها على نطاق واسع، وهو ما وجد فيه الباحثون تلميحًا إلى نشاط تخريبي موجّه. ومكّن البحث الإضافي من اكتشاف عدة إصدارات من هذه البرمجية الخبيثة وعشرات العينات منها، متصلة بأوجه تشابه برمجي متعددة.

ووجد الخبراء أن وظائف جميع العينات كانت متشابهة، وأن الغرض الرئيسي منها تمثل في جمع المعلومات من أجهزة أندرويد وتضمنت الوظائف الأساسية للبرمجية، على الرغم من عدم اتساعها، تحديد الموقع الجغرافي وسجلات المكالمات والوصول إلى جهات الاتصال وإلى الرسائل النصية القصيرة، كما أمكنها جمع قائمة بالتطبيقات المثبتة على أجهزة أندرويد بالإضافة إلى معلومات الجهاز نفسه، مثل الطراز وإصدار نظام التشغيل. 

علاوة على ذلك، كانت الجهة التخريبية قادرة على تنزيل وتنفيذ حملات خبيثة مختلفة، والأجزاء المنفّذة للعمل الخبيث في البرمجية خبيثة، وبالتالي تكيف الحمولة لتناسب بيئة الجهاز المحددة، مثل إصدار أندرويد والتطبيقات المثبتة.

بهذه الطريقة تمكنت الجهة التخريبية من تجنب التحميل الزائد للتطبيق الخبيث بمزايا غير ضرورية، وفي الوقت نفسه ضمنت جمع المعلومات اللازمة لها.

ووجدت المزيد من الأبحاث أن حملة PhantomLance وُزعت في الأساس على العديد من المنصات ومتاجر التطبيقات، مثل جوجل بلاي وAPKpure، على سبيل المثال لا الحصر. 

وحاولت جهة التهديد في كل حالة تقريبًا من حالات نشر تطبيق البرمجية الخبيثة، إنشاء ملف تعريف مزيف للمطور عبر إنشاء حساب Github مرتبط بالتطبيق، وذلك لجعل تطبيقاتها تبدو سليمة، في حين لم تحوِ الإصدارات الأولى من التطبيق، التي رفعتها الجهة التخريبية إلى متاجر التطبيقات، على أية حمولات خبيثة، وذلك من أجل التهرب من آليات التصفية التي تستخدمها تلك المتاجر، لكن التطبيقات حملت في التحديثات اللاحقة حمولات خبيثة وبرمجية لتنزيل هذه الحمولات وتنفيذها.

لوحظت نحو 300 محاولة إصابة على أجهزة أندرويد في بلدان، مثل الهند وفيتنام وبنغلاديش وإندونيسيا منذ العام 2016، وفقًا لشبكة Kaspersky Security Network. وبينما تضمنت إحصائيات الكشف إصابات عرَضية، فقد برزت فيتنام بوصفها واحدة من أبرز الدول المستهدفة من حيث عدد محاولات الهجمات، بل إن بعض التطبيقات الخبيثة المستخدمة في الحملة صنعت حصريًا باللغة الفيتنامية.

باستخدام محرك كاسبرسكي الخاص بإسناد البرمجيات الخبيثة، الذي يُعتبر أداة العثور على أوجه الشبه بين مختلف قطع البرمجيات الخبيثة، تمكّن الباحثون من تحديد أن حمولات PhantomLance كانت مشابهة بنسبة قدرها 20% على الأقل لتلك الموجودة في حملة قديمة استهدفت نظام أندرويد، وكانت مرتبطة بالجهة التخريبية OceanLotus، التي تنشط منذ العام 2013 على الأقل وتقع أهدافها في الغالب في جنوب شرق آسيا. 

علاوة على ذلك، عُثر على العديد من التداخلات المهمة مع أنشطة OceanLotus، التي اُبلغ عنها سابقًا على أنظمة ويندوز وMacOS، مما جعل باحثي كاسبرسكي يرون إمكانية الربط بين حملة PhantomLance و OceanLotus بمستوى متوسط من الثقة، وأبلغت كاسبرسكي أصحاب متاجر التطبيقات بجميع العينات المكتشفة، فيما أكّد جوجل بلاي إزالة التطبيقات.

قال (ألكسي فيرش) الباحث الأمني في فريق البحث والتحليل العالمي التابع لكاسبرسكي، إن هذه الحملة مثال بارز على القدرة المتزايدة للجهات العاملة في مجال التهديدات المتقدمة على الاختفاء، مشيرًا إلى أن حملة PhantomLance ما زالت مستمرة منذ أكثر من خمس سنوات، مع تمكنها من تجاوز آليات التصفية المعتمدة في متاجر التطبيقات عدة مرات، وباستخدام تقنيات متقدمة لتحقيق أهدافها. وأضاف: “بوسعنا أن نرى الزيادة الحاصلة في استهداف أنظمة التشغيل الخاصة بالأجهزة المحمولة، لا سيما مع تقدم المزيد من الجهات التخريبية في هذا المجال، وتؤكد هذه التطورات أهمية التحسين المستمر لمعلومات التهديدات والخدمات المساندة، التي يمكن أن تساعد في تتبع الجهات التخريبية وإيجاد التداخلات بين الحملات المختلفة”.

هذا وتوصي كاسبرسكي باتباع التدابير التالية لتجنب الوقوع ضحية للهجمات الموجهة، سواء الشركات أو الأفراد:

الأفراد:

  • استخدم حلًا أمنيًا موثوقًا به، مثل Kaspersky Total Security ، لتأمين الحماية الشاملة من مجموعة واسعة من التهديدات. ويشتمل الحل على تطبيق Kaspersky Secure Connection، الذي يمنع تتبع نشاط المستخدم عبر الإنترنت، ويخفي عنوان بروتوكول الإنترنت IP وموقعه، وينقل بيانات المستخدم عبر نفق آمن باستخدام الشبكة الافتراضية الخاصة.

الشركات:

  • التأكد من أن الحل الأمني الخاص بالنقاط الطرفية قادر على حماية الأجهزة المحمولة، مثل Kaspersky Security for Mobile. ومن الضروري تفعيل ميزة الرقابة على التطبيقات في هذا الحلّ للتحقق من سلامة التطبيقات المثبتة على الجهاز، بالإضافة إلى الحماية من التعديل في جذر نظام التشغيل؛ لتجنّب اختراق الأجهزة وحظرها، وحذف بيانات الشركة المخزنة عليها.
  • منح فريق مركز العمليات الأمنية إمكانية الوصول إلى أحدث المعلومات المتعلقة بالتهديدات، وإبقائه على اطلاع دائم على الأدوات والأساليب والتكتيكات الجديدة والناشئة التي يستخدمها مجرمو الإنترنت والجهات التخريبية القائمة وراء التهديدات.
  • توظيف أحد حلول الكشف والاستجابة للتهديدات عند النقاط الطرفية، مثل الحل Kaspersky Endpoint Detection and Response، بما يكفل التحقيق في الحوادث الرقمية والتعامل معها في الوقت المناسب.
  • تنفيذ حل أمني على مستوى الشركة يكتشف عن التهديدات المتقدمة على مستوى الشبكة في مرحلة مبكرة، مثل Kaspersky Anti Targeted Attack Platform، وذلك بالإضافة إلى اعتماد الحماية الأساسية للنقاط الطرفية.