سال‌ها انتشار جاسوس‌افزار از طریق پلی‌استور

البته درحالی‌که پلی‌استور در دومین رتبه لیست آپلود بدافزارهای جدید قرار دارد، تاثیر این فروشگاه آنلاین بر دانلود برنامه‌های مخرب توسط کاربران اندرویدی ظاهرا کمتر است. گوگل با وجود اینکه به بسیاری از برنامه‌های مخرب اجازه ورود به پلی‌استور خود را می‌دهد، برای پیدا کردن این برنامه‌های مخرب هم تلاش زیادی می‌کند و سرعت آن بهبود یافته، به‌طوری که تعداد برنامه‌های مخرب در این فروشگاه در سال ۲۰۱۹، ۴/ ۷۶ درصد کاهش داشته است. به‌تازگی مهاجمان در حمله‌ای با نام فانتوم‌لنس (PhantomLance) با به‌ اشتراک‌گذاری برنامه‌های حاوی جاسوس‌افزار روی پلی‌استور و فروشگاه‌های جایگزین مانند APKpure و APKCombo کاربران دستگاه‌های با سیستم عامل اندروید را هدف قرار ‌داده‌اند. این کارزار حداقل از سال ۲۰۱۵ فعال بوده و همچنان نیز در جریان است. حمله فانتوم‌لنس مجهز به چند نسخه از یک جاسوس‌افزار پیچیده است که ضمن جمع‌آوری داده‌های کاربر از تاکتیک‌های هوشمندی همچون توزیع در قالب چند برنامه از طریق فروشگاه آنلاین رسمی گوگل بهره می‌گیرد.

براساس گزارش مرکز مدیریت راهبردی افتای ریاست‌جمهوری که کسپراسکای آن را منتشر کرده، برخی منابع OceanLotus را که با نام APT32 نیز شناخته می‌شود گروهی متشکل از مهاجمان ویتنامی می‌دانند. براساس آمار کسپراسکای در سال‌های ابتدایی ظهور این کارزار کاربران ویتنامی و پس از آن با اختلافی زیاد کاربران چینی بیشترین تاثیر را از فانتوم‌لنس پذیرفتند. اما از سال ۲۰۱۶ دامنه این آلودگی‌ها فراتر رفته و کاربران در کشورهای بیشتری با آن مواجه شده‌اند.

نمونه بدافزارهای مشابهی نیز بعدا توسط کسپراسکای در چند برنامه توزیع شده روی پلی‌استور و از نظر این محققان مرتبط با حمله فانتوم‌لنس شناسایی شدند که در قالب سلسله حملاتی هدفمند اقدام به استخراج اطلاعاتی شامل موقعیت جغرافیایی، سوابق تماس‌ها، فهرست تماس افراد، پیامک‌ها، برنامه‌های نصب شده و اطلاعات دستگاه می‌کرده‌اند. علاوه بر آن، گردانندگان تهدید قادرند انواع کد مخرب سازگار با مشخصه‌های دستگاه نظیر نسخه اندروید و برنامه‌های نصب‌شده را دریافت و اجرا کنند. با این روش، مهاجمان بدون آنکه دستگاه را با قابلیت‌های غیرضروری و ناسازگار با ساختار آن درگیر کنند اطلاعات مورد نظر خود را با حداقل اشغال منابع استخراج می‌کنند. برای عبور از سد کنترل‌های امنیتی، مهاجمان OceanLotus ابتدا نسخه‌های فاقد هرگونه کد مخرب را روی فروشگاه آنلاین به‌اشتراک می‌گذاشتند. این رفتار پس از کشف نسخ برنامه‌های یکسان با و بدون کد مخرب تایید شد.

نسخه‌های مذکور به‌دلیل آنکه فاقد هرگونه مورد مشکوکی بودند به‌سادگی به فروشگاه آنلاین راه می‌یافتند. اما در ادامه به نسخه‌ای به‌روز می‌شدند که هم برنامه را حاوی کد مخرب می‌کرد و هم امکان دریافت کدهای مخرب دیگر را از طریق برنامه فراهم می‌کرد.