นักวิจัยของแคสเปอร์สกี้ตรวจพบ “แฟนท่อมแลนซ์” (PhantomLance) แคมเปญร้ายมีความซับซ้อนที่จ้องโจมตีผู้ใช้งานดีไวซ์ระบบแอนดรอยด์ซึ่งเชื่อมโยงกับผู้ก่อการร้ายไซเบอร์กลุ่มโอเชียนโลตัส (OceanLotus)
แคมเปญนี้เริ่มต้นปฏิบัติการตั้งแต่ปี 2015 เป็นอย่างน้อย และปัจจุบันยังดำเนินการอยู่ ใช้สปายแวร์ซับซ้อนหลากหลายเวอร์ชั่นที่ทำหน้าที่เก็บข้อมูลของเหยื่อ และมีกลวิธีแพร่กระจายอย่างชาญฉลาดหลายวิธี เช่น ผ่านแอปพลิเคชั่นจำนวนมากใน Google Play
ในเดือนกรกฏาคม ปี 2019 ผู้เชี่ยวชาญด้านความปลอดภัยแห่งหนึ่งได้ออกรายงานเรื่องสปายแวร์ตัวใหม่ที่พบใน Google Play นักวิจัยของแคสเปอร์สกี้ยังได้ค้นพบมัลแวร์อีกตัวหนึ่งที่คล้ายคลึงกันใน Google Play อีกด้วย โดยปกติแล้วผู้ออกแบบมัลแวร์จะอัพโหลดแอปร้ายไว้ในแอปสโตร์ แล้วลงทุนโปรโมทแอปพลิเคชั่นเพื่อเพิ่มยอดดาวน์โหลด ซึ่งก็คือการเพิ่มยอดเหยื่อนั่นเอง แต่ในกรณีนี้กลับต่างออกไป ผู้ก่อภัยคุกคามกลับไม่สนใจที่จะแพร่กระจายการติดเชื้อนี้ในวงกว้าง ทำให้นักวิจัยคาดว่าจะเป็นการโจมตีแบบเจาะจงเป้าหมาย การวิจัยเพิ่มเติมทำให้พบมัลแวร์นี้อีกหลายเวอร์ชั่นที่มีโค้ดสอดคล้องเชื่อมโยงกัน
การวิจัยเพิ่มเติมระบุว่า “แฟนท่อมแลนซ์” แพร่กระจายในแพลตฟอร์มและตลาดสินค้าที่หลากหลาย เช่น Google Play และ APKpure การทำให้แอปดูเหมือนถูกกฎหมาย ผู้ก่อภัยคุกคามจะปลอมโปรไฟล์นักพัฒนาโดยการสร้างแอ็คเคาท์ Github นอกจากนี้ตลาดสินค้าจะมีขั้นตอนการกรองแอป ผู้ก่อภัยคุกคามก็จะอัพโหลดแอปเวอร์ชั่นแรกที่ยังไม่มีเพย์โหลดร้าย แต่เมื่อทำการอัพเดทในภายหลัง ก็จะมีทั้งเพย์โหลดมุ่งร้ายและโค้ดที่ใช้สั่งการเพย์โหลด
อเล็กซี่ เฟิร์ช นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับโลกของแคสเปอร์สกี้ กล่าวว่า “แฟนท่อมแลนซ์เป็นตัวอย่างที่โดดเด่นอย่างมากที่แสดงให้เห็นความก้าวหน้าของผู้ก่อภัยคุกคามที่เคลื่อนไหวเงียบเชียบและหาตัวจับยาก แคมเปญนี้ปฏิบัติการนานกว่าห้าปี ผู้ก่อภัยคุกคามสามารถบายพาสขั้นตอนการกรองของแอปสโตร์ได้หลายครั้ง โดยใช้เทคนิคขั้นสูงเพื่อบรรลุเป้าหมาย เราได้เห็นว่าการใช้โมบายแพลตฟอร์มเป็นจุดแพร่กระจายหลักนั้นเป็นวิธีที่นิยมใช้กันมากขึ้น พัฒนาการทางร้ายของภัยคุกคามนี้ ทำให้คลังข้อมูลอัจฉริยะหรือ Threat Intelligence รวมถึงบริการสนับสนุนต่างๆ ยิ่งมีความสำคัญมากขึ้น เพื่อช่วยติดตามผู้ก่อภัยคุกคามและหาแคมเปญที่เกี่ยวโยงกัน”
อ่านรายงาน “แฟนท่อมแลนซ์” ฉบับเต็มได้ที่ https://securelist.com/apt-phantomlance/96772/