حمله جاسوس‌افزاری به جنوب شرق آسیا

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت کسپراسکی به تازگی یک کمپین جاسوس‌افزاری به نام «فانتوم لنس» (Phantom Lance) را شناسایی کرده است که به اهدافی خاص در کشورهای جنوبی شرقی آسیا حمله می‌کنند. گروه هکری مسئول این حمله «اوشن لوتوس» (OceanLotus APT) نام دارد که با اسامی دیگری نیز مانند APT32 و «کوبالت کیتی» (Cobalt kitty) شناخته می‌شوند. اوشن لوتوس یک گروه هکری ویتنامی است که از سال 2013 فعالیت خود را آغاز کرد.

در کمپین فانتوم لنس، کاربران آسیایی اندروید، توسط ده‌ها برنامه آلوده بارگذاری شده در فروشگاه گوگل (Google Play) و دیگر فروشگاه‌های شخصی ثالث مانند «APKpute» مورد حمله قرار می‌گیرند. این کمپین اولین بار در سال 2019 شناسایی شد؛ اما حداقل از سال 2016 در حال فعالیت بوده است.

محققان کسپراسکی شرح دادند، فعالیت فانتوم لنس محدود است. این جاسوس‌افزار می‌تواند داده‌های جغرافیایی، گزارش تماس و فهرست مخاطبان را جمع کرده و فعالیت‌های پیامکی را کنترل کند. همچنین تواند لیستی از برنامه‌های نصب شده، مدل دستگاه آلوده و سیستم‌عامل آن تهیه و ارسال کند.

محققان توضیح دادند که چندین نسخه مختلف از بدافزار یاد شده را از جولای 2019 تاکنون شناسایی کرده‌اند. همه این نسخه‌ها به واسطه کدهای مشابهی که دارند به هم مرتبط بوده و پس از آلوده سازی دستگاه محیط کاری قربانی را بررسی کرده بر اساس نسخه اندروید و برنامه‌های نصب شده روی ابزار، حملات خود را انجام می‌دهد.

تحلیلگران کسپراسکی ادامه دادند، احتمالاً دلیل استفاده از چندین نمونه مختلف از جاسوس‌افزار فانتوم لنس، تلاش هکرها برای دور زدن فیلترهای امنیتی فروشگاه گوگل به روش‌های مختلف است. به گونه‌ای که آخرین نمونه کشف شده نیز به سادگی موارد امنیتی را فریب داده و درخواست‌های دسترسی مشکوک خود را از پنهان می‌سازد.

محققان اظهار کردند نمونه جدید بدافزار مذکور از یک ویژگی جدید بهره می‌برد که در گذشته دیده نشده بود. این ویژگی به بدافزار اجازه می‌دهد بررسی که آیا می‌توان به روت دستگاه دسترسی پیدا کرد یا خیر. در این صورت امکان‌پذیر بودن این مسئله یک تماس بازگشتی با تابع «SetUidMode» رابط برنامه‌نویسی کاربردی (API) آن برقرار شده و بودن نیاز به دخالت‌های کاربر، مجوزهای دلخواه خود را تأیید می‌کند. از طرفی هکرها به منظور قانون جلوه داده برنامه خود، یک حساب کاربری جعلی در گیت‌هاب (GitHub) ایجاد کرده‌اند. همچنین اولین نسخه‌های برنامه‌های هکرها حاوی عملکرد مخرب نبوده و پس از نصب و دریافت بروزرسانی‌ها کدها مخرب را بارگذاری می‌کند. برنامه‌هایی که هکرها برای بارگذاری روی فروشگاه‌های نرم افزاری توسعه می‌دادند بیشتر شامل پلاگین‌های فلش، انواع Cleaner و بروزرسان‌ها هستند..

در گزارش کسپراسکی آماده است به نظر نمی‌رسد هکرها علاقه‌ای به گسترش بدافزار خود داشته باشند. به‌گونه‌ای که در سال 2016 تنها 300 دستگاه اندرویدی آلوده شده بود. این حمله بیشتر در کشورهای هند، ویتنام، بنگلادش، اندونزی، الجزایر، ایران، آفریقای جنوبی، نپال، میانمار و مالزی انجام گرفته است. به ویژه بسیاری از برنامه‌های توسعه یافته توسط هکرها به زبان ویتنامی ایجاد شده بودند.  در ادامه می‌توان نقشه مناطق آلوده را مشاهده کرد.