تمكنت الكثير من برمجيات الإعلانات المضللة، وحتى أحصنة طروادة المصرفية على مر السنين من التغلب على عمليات التحقق الأمنية في متجر (جوجل بلاي).

واكتشف الباحثون أنه شكل أكثر ندرة من هجمات استهداف أجهزة أندرويد، حيث تمكن القراصنة من إخفاء برمجيات ضارة في بعض التطبيقات في متجر جوجل بلاي لاستهداف مستخدمين محددين والتجسس عليهم.

واكتشف باحثون من شركة كاسبرسكي حملة قرصنة معقدة تستهدف مستخدمي أجهزة أندرويد تُسمى (PhantomLance)، حيث يخفي القراصنة برمجيات ضارة في تطبيقات متجر جوجل بلاي لاستهداف المستخدمين في فيتنام وبنغلاديش وإندونيسيا والهند.
وعلى عكس معظم التطبيقات المشبوهة الموجودة في جوجل بلاي، يقول باحثو كاسبرسكي إن “حملة (PhantomLance) تستهدف سرقة البيانات بهدف إصابة بعض المئات فقط من المستخدمين؛ من المحتمل أن ترسل حملة التجسس روابط للتطبيقات الضارة إلى تلك الأهداف عبر رسائل البريد الإلكتروني التصيدية”.

ويقول الباحث الأمني في كاسبرسكي أليكسي فيرش، “في هذه الحالة استخدم المهاجمون متجر جوجل بلاي كمصدر موثوق به، حيث يمكنك إرسال رابط لهذا التطبيق، وستثق به الضحية لأنه من جوجل بلاي”.

تقول كاسبيرسكي إنها ربطت حملة (PhantomLance) بمجموعة القراصنة التابعين للحكومة الفيتنامية المعروفين باسم (OceanLotus) والمعروفين أيضًا باسم (APT32)، وقد رصدت شركة (FireEye) في الفترة الأخيرة استهداف هذه المجموعة لإدارة الطوارئ الصينية بالإضافة إلى حكومة مقاطعة ووهان الصينية، وعلى ما يبدو أنها كانت تبحث عن معلومات تتعلق بفيروس كورونا المستجد (Covid-19).

وظهرت الإشارات الأولى لحملة (PhantomLance) التي تركز على متجر جوجل بلاي في شهر يوليو من العام الماضي، وقد حدث ذلك عندما عثرت شركة الأمن الروسية (Dr.Web) على عينة من برمجيات التجسس في متجر التطبيقات والتي انتحلت هوية برنامج تنزيل برامج التصميم الجرافيكي ولكنها كانت في الواقع قادرة على سرقة جهات الاتصال وسجلات المكالمات والرسائل النصية من هواتف أندرويد.

وجد باحثو كاسبرسكي تطبيق تجسس مشابه ينتحل صفة أداة تنظيف ذاكرة التخزين المؤقت للمتصفح يُسمى (Browser Turbo) وقد كان نشيطًا حتى شهر نوفمبر من ذلك العام، حيث قامت جوجل بحذف كل التطبيقات الضارة من جوجل بلاي بعد الإبلاغ عنها.
في حين كانت قدرات التجسس لهذه التطبيقات محدودة، إلا أن الباحث (فيرش) يقول: “كان بإمكانها التوسع، فقدرتها على تنزيل برمجيات ضارة جديدة، يمكن أن تؤدي إلى تطور ميزاتها بشكل كبير”.

عثر فريق بحث كاسبيرسكي على عشرات تطبيقات التجسس المماثلة الأخرى التي يعود تاريخها إلى عام 2015 والتي أزالتها جوجل بالفعل من المتجر، ولكنها لا تزال مرئية في النسخ المؤرشفة لمستودع التطبيق. كما أنشأ المخترقون حسابًا جديدًا، وقاموا أيضًا بإنشاء حساب على (Github) للمطورين لجعل التطبيقات تبدو مشروعة وإخفاء مساراتهم.

كيف يمكنك حماية هاتفك من حملة PhantomLance؟

أهم نصيحة يكررها خبراء الأمن حول برمجيات أندرويد الضارة هي تثبيت التطبيقات فقط من متجر جوجل، ولكن حملة (PhantomLance) تُظهر أن هناك الكثير من الأساليب التي من الممكن أن تخدع جوجل أحيانًا.

تبذل Google جهدًا كبيرًا للحفاظ على أمان متجر التطبيقات، ولكن القراصنة أيضًا مبتكرون. لذلك فإن مجرد وجود تطبيق في جوجل بلاي لا يضمن سلامته تمامًا. ضع في اعتبارك دائمًا العوامل الأخرى مثل: إعطاء الأفضلية للتطبيقات من المطورين الموثوق بهم. انتبه إلى تقييمات التطبيق ومراجعات المستخدمين. راجع بعناية الأذونات التي يطلبها التطبيق، ولا تتردد في رفضها إذا كانت غير منطقية.

افحص التطبيقات التي تقوم بتثبيتها في هاتفك باستخدام حل أمان موثوق به. يمكنك أيضًا استخدم حل أمني موثوق به، مثلKaspersky Total Security، حيث يوفر لك الحماية الشاملة ضد مجموعة واسعة من التهديدات.

ويشتمل الحل على تطبيق Kaspersky Secure Connection، الذي يمنع تتبع نشاط المستخدم عبر الإنترنت، ويخفي عنوان بروتوكول الإنترنت IP وموقعه، وينقل بيانات المستخدم عبر مسار آمن باستخدام الشبكة الافتراضية الخاصة.