مهاجمان در حملهای با نام فانتوملنس با به اشتراکگذاری برنامههای حاوی جاسوسافزار روی فروشگاههای آنلاینی همچون پلیاستور، کاربران دستگاههای با سیستم عامل اندروید را هدف قرار میدهند.
بسیاری از برنامههایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر میشوند، از روی برنامههای منبع باز ساخته شدهاند. بسیاری از این برنامهها صرفاً با تغییر نام و آیکون بهعنوان برنامههای گوناگون و با هدف استفاده از سرویسهای تبلیغاتی داخل این برنامهها و درآمدزایی برای منتشرکننده برنامه، تولید میشوند. این برنامهها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.
البته در حالیکه پلیاستور در دومین رتبه لیست آپلود بدافزارهای جدید قرار دارد، تاثیر این فروشگاه آنلاین بر دانلود برنامههای مخرب توسط کاربران اندرویدی ظاهرا کمتر است. گوگل با وجود اینکه به بسیاری از برنامههای مخرب اجازه ورود به پلیاستور خود را میدهد، برای پیدا کردن این برنامههای مخرب هم تلاش زیادی میکند و سرعت آن بهبود یافته، بهطوری که تعداد برنامههای مخرب در این فروشگاه در سال ۲۰۱۹، ۷۶.۴ درصد کاهش داشته است.
بهتازگی مهاجمان در حملهای با نام فانتوملنس (PhantomLance) با به اشتراکگذاری برنامههای حاوی جاسوسافزار روی پلیاستور و فروشگاههای جایگزین مانند APKpure و APKCombo کاربران دستگاههای با سیستم عامل اندروید را هدف قرار دادهاند. این کارزار حداقل از سال ۲۰۱۵ فعال بوده و همچنان نیز در جریان است. حمله فانتوملنس مجهز به چندین نسخه از یک جاسوسافزار پیچیده است که ضمن جمعآوری دادههای کاربر از تاکتیکهای هوشمندی همچون توزیع در قالب چندین برنامه از طریق فروشگاه آنلاین رسمی گوگل بهره میگیرد.
بر اساس گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری که کسپراسکای آن را منتشر کرده، برخی منابع OceanLotus را که با نام APT32 نیز شناخته میشود گروهی متشکل از مهاجمان ویتنامی میدانند. بر اساس آمار کسپراسکای در سالهای ابتدایی ظهور این کارزار کاربران ویتنامی و پس از آن با اختلافی زیاد کاربران چینی بیشترین تأثیر را از فانتوملنس پذیرفتند. اما از سال ۲۰۱۶ دامنه این آلودگیها فراتر رفته و کاربران در کشورهای بیشتری با آن مواجه شدهاند.
نمونه بدافزارهای مشابهی نیز بعداً توسط کسپراسکای در چندین برنامه توزیع شده روی پلیاستور و از نظر این محققان مرتبط با حمله فانتوملنس شناسایی شدند که در قالب سلسله حملاتی هدفمند اقدام به استخراج اطلاعاتی شامل موقعیت جغرافیایی، سوابق تماسها، فهرست تماس افراد، پیامکها، برنامههای نصب شده و اطلاعات دستگاه میکردهاند. علاوه بر آن، گردانندگان تهدید قادرند، انواع کد مخرب سازگار با مشخصههای دستگاه نظیر نسخه اندروید و برنامههای نصبشده را دریافت و اجرا کنند.
با این روش، مهاجمان بدون آنکه دستگاه را با قابلیتهای غیرضروری و ناسازگار با ساختار آن درگیر کنند اطلاعات مورد نظر خود را با حداقل اشغال منابع استخراج میکنند. برای عبور از سد کنترلهای امنیتی، مهاجمان OceanLotus ابتدا نسخههای فاقد هرگونه کد مخرب را روی فروشگاه آنلاین بهاشتراک میگذاشتند. این رفتار پس از کشف نسخ برنامههای یکسان با و بدون کد مخرب تأیید شد.
نسخههای مذکور به دلیل آنکه فاقد هرگونه مورد مشکوکی بودند بهسادگی به فروشگاه آنلاین راه مییافتند. اما در ادامه به نسخهای بهروز میشدند که هم برنامه را حاوی کد مخرب میکرد و هم امکان دریافت کدهای مخرب دیگر را از طریق برنامه فراهم میکرد. کارشناسان معاونت بررسی مرکز افتا میگویند: این واقعیت که برنامههای مخرب هنوز در بازارهای ثالث در دسترس قرار دارند از آنجا ناشی میشود که بسیاری از آنها با اجرای عملیات موسوم به Mirroring از برنامههای موجود روی پلیاستور رونوشت تهیه میکنند.
بیش از پنج سال است که فانتوملنس فعال است و گردانندگان آنها توانستهاند با استفاده از تکنیکهای پیشرفته در چندین نوبت از سد سازوکارهای کنترلی انبارههای بهاشتراکگذاری برنامههای اندروید گذشته و راه را برای رسیدن به اهدافشان هموار کنند. کارشناسان کسپراسکای معتقدند: بیشتر تمرکز مهاجمان روی بسترهای موبایل و استفاده از آنها بهعنوان نقطه اصلی آلودهسازی است و آن را نشانهای از استقبال گسترده تبهکاران سایبری از این حوزه میدانند.