اكتشاف تقنية الباب الخلفي PhantomLance لنظام Android على Google Play

عثر خبراء Kaspersky على تقنية الباب الخلفي لحصان طروادة PhantomLance لنظام Android في Google Play.

في يوليو الماضي، اكتشف زملاؤنا في Doctor Web تقنية باب خلفي لحصان طروادة على Google Play. مثل هذه الاكتشافات لا تتكرر كل يوم بالضبط، بل يكاد لا يُسمع عنها – لكن الباحثين يعثرون بالفعل على أحصنة طروادة على Google Play، وأحيانًا المئات منها مرة واحدة.

ومع ذلك، كان حصان طروادة هذا متطورًا على نحو مفاجئ مقارنة بالبرامج الضارة الموجودة على Google Play، لذلك قرر خبراؤنا التعمق أكثر بشأنه. فقد أجروا تحقيقاتهم الخاصة ووجدوا أن البرنامج الضار جزء من حملة ضارة (أطلقنا عليها اسم PhantomLance)، لا تزال مستمرة منذ نهاية عام 2015.

ما الذي يمكن أن تفعله PhantomLance

اكتشف خبراؤنا عدة إصدارات من PhantomLance. وعلى الرغم من تزايد تعقيدها والاختلافات التي طرأت عليها منذ وقت ظهورها، إلا أنها متشابهة إلى حد ما من حيث القدرات.

فالهدف الرئيسي من حملة PhantomLance هو جمع معلومات سرية من جهاز الضحية. يستطيع البرنامج الضار أن يزود القائمين عليه ببيانات الموقع وسجلات المكالمات والرسائل النصية وقوائم التطبيقات المثبتة والمعلومات الكاملة المتعلقة بالهاتف الذكي المصاب. والأكثر من ذلك، يمكن توسيع وظيفته في أي لحظة ببساطة بتحميل وحدات إضافية من خادم C&C.

انتشار حملة PhantomLance

Google Play هو المنصة الأساسية لانتشار البرنامج الضار. كما عُثر عليه في مستودعات تابعة لجهات خارجية، ولكن في الغالب ما هي إلا نسخ من متجر تطبيقات Google الرسمي.

لذا يمكننا القول بالتأكيد إن التطبيقات التي أصيبت بأحد إصدارات حصان طروادة بدأت في الظهور في المتجر في صيف 2018. كما اكتشف البرنامج الضار متخفيًا في أدوات تُستخدم لتغيير الخطوط وإزالة الإعلانات وتنظيف النظام وما إلى ذلك.

[ عُثر على تطبيق في Google Play يحتوي على تقنية الباب الخلفي PhantomLance]

ومنذ ذلك الحين، أزيلت جميع التطبيقات التي تحتوي على PhantomLance من Google Play، لكن بالطبع، لا تزال توجد نسخ منها في نسخ المتجر الرسمي. ومن المضحك أن نسخ المستودعات هذه تذكر أنه يتم تنزيل حزمة التثبيت مباشرة من Google Play، وبالتالي فإنها خالية من الفيروسات بالتأكيد.

كيف استطاع منفذو الجرائم الإلكترونية دسّ حيلتهم إلى متجر Google الرسمي؟ أولاً، لمزيد من المصداقية، أنشأ المهاجمون ملف تعريف لكل مطور على GitHub. وقد احتوت ملفات التعريف هذه على نوع من اتفاقية الترخيص فقط. ومع ذلك، فإن امتلاك ملف تعريف على GitHub يمنح المطورين قدرًا من الاحترام.

ثانيًا، لم تكن التطبيقات التي قام منشئو PhantomLance بتحميلها على المتجر ضارة في البداية. ولم تحتوِ الإصدارات الأولى من البرامج على أي ميزات مثيرة للريبة، وبالتالي اجتازت فحوصات Google Play بنجاح باهر. ولكن بمرور بعض الوقت، ومع التحديثات، اكتسبت التطبيقات ميزات ضارة.

أهداف حملة PhantomLance

وبناءً على المنطقة الجغرافية لانتشارها، بالإضافة إلى وجود إصدارات فيتنامية لتطبيقات ضارة على المتاجر عبر الإنترنت، تأكدنا أن أهم أهداف منشئي حملة PhantomLance كان المستخدمون من فيتنام.

علاوةً على ذلك، اكتشف خبراؤنا عددًا من الخصائص التي تربط بين PhantomLance ومجموعة OceanLotus، المسؤولة عن إنشاء مجموعة من البرامج الضارة التي كانت تستهدف أيضًا المستخدمين من فيتنام.

وتشمل مجموعة أدوات البرامج الضارة من OceanLotus التي سبق تحليلها عائلة تقنيات الباب الخلفي لأنظمة تشغيل macOS، وعائلة من تقنيات الباب الخلفي لأنظمة تشغيل Windows، ومجموعة من أحصنة طروادة لأنظمة تشغيل Android، والتي اكتُشف نشاطها في الفترة بين 2014 و2017. وقد استنتج خبراؤنا أن حملة PhantomLance نجحت في نشر أحصنة طروادة لأنظمة تشغيل Android المذكورة أعلاه بدءًا من عام 2016.

[ ترتبط PhantomLance بأسلحة برامج ضارة أخرى من مجموعة OceanLotus]

كيفية الحماية من PhantomLance

إحدى النصائح التي نكررها كثيرًا في منشوراتنا حول البرامج الضارة بأنظمة Android هي “ثبت تطبيقاتك من Google Play فقط.” ولكن PhantomLance تثبت مرة أخرى أن البرامج الضارة يمكن أن تخدع أحيانًا حتى عمالقة الإنترنت.

تبذل Google جهودًا عظيمة لكي تُبقي متجر تطبيقاتها نظيفًا (وإلا فقد نواجه برامج مشبوهة في كثير من الأحيان)، لكن قدرات الشركة ليست بلا حدود، كما أن المهاجمين مبتكرون. لذلك، فمجرد وجود التطبيق على Google Play لا يضمن سلامته. وإنما ضع في اعتبارك دائمًا عوامل أخرى:

· أعط الأفضلية للتطبيقات المقدمة من مطورين موثوق بهم.
· انتبه إلى تقييمات التطبيقات ومراجعات المستخدمين.
· انظر بعناية إلى الأذونات التي تطلبها التطبيقات، ولا تتردد في رفضها إذا كنت تعتقد أنها شرهة الوصول إلى بياناتك. على سبيل المثال، قد لا يحتاج تطبيق خاص بحالة الطقس إلى الوصول إلى جهات الاتصال أو الرسائل لديك، وبالمثل لا يحتاج برنامج تحرير صور إلى معرفة موقعك.
· افحص التطبيقات التي تثبتها على جهازك بنظام Android باستخدام Kaspersky Internet Security For Android حل أمان موثوق به

لمزيد من المعلومات التقنية حول PhantomLance، راجع تقرير خبرائنا التفصيلي على Securelist.

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!