นักวิจัยของแคสเปอร์สกี้ตรวจพบ “แฟนท่อมแลนซ์” (PhantomLance) แคมเปญร้ายมีความซับซ้อนที่จ้องโจมตีผู้ใช้งานดีไวซ์ระบบแอนดรอยด์ซึ่งเชื่อมโยงกับผู้ก่อการร้ายไซเบอร์กลุ่มโอเชียนโลตัส (OceanLotus) แคมเปญนี้เริ่มต้นปฏิบัติการตั้งแต่ปี 2015 และปัจจุบันแคมเปญก็ยังดำเนินการอยู่โดยใช้สปายแวร์ซับซ้อนหลากหลายเวอร์ชั่นที่ทำหน้าที่เก็บข้อมูลของเหยื่อ และมีวิธีแพร่กระจายตัวเองผ่านแอปนใ Google Play
ในเดือนกรกฏาคม ปี 2019 ผู้เชี่ยวชาญด้านความปลอดภัยแห่งหนึ่งได้ออกรายงานเรื่องสปายแวร์ตัวใหม่ที่พบใน Google Play แคสเปอร์สกี้สนใจรายงานนี้อย่างมากด้วยสปายแวร์มีฟีเจอร์ที่คาดไม่ถึง คือมีระดับความซับซ้อนและพฤติกรรมที่แตกต่างจากโทรจันทั่วไปในแอปสโตร์ นักวิจัยของแคสเปอร์สกี้ยังได้ค้นพบมัลแวร์อีกตัวหนึ่งที่คล้ายคลึงกันใน Google Play อีกด้วย โดยปกติแล้วผู้ออกแบบมัลแวร์จะอัพโหลดแอปร้ายไว้ในแอปสโตร์ แล้วลงทุนโปรโมทแอปพลิเคชั่นเพื่อเพิ่มยอดดาวน์โหลด ซึ่งก็คือการเพิ่มยอดเหยื่อนั่นเอง แต่ในกรณีนี้กลับต่างออกไป ผู้ก่อภัยคุกคามกลับไม่สนใจที่จะแพร่กระจายการติดเชื้อนี้ในวงกว้าง ทำให้นักวิจัยคาดว่าจะเป็นการโจมตีแบบเจาะจงเป้าหมาย การวิจัยเพิ่มเติมทำให้พบมัลแวร์นี้อีกหลายเวอร์ชั่นที่มีโค้ดสอดคล้องเชื่อมโยงกัน
ฟังก์ชั่นการทำงานก็คล้ายคลึงกัน หน้าที่หลักของสปายแวร์คือการเก็บรวบรวมข้อมูล หน้าที่พื้นฐานอื่นๆ ได้แก่ การระบุตำแหน่ง การเข้าถึงข้อมูลการโทร ข้อมูลติดต่อ ข้อความ SMS และแอปพลิเคชั่นนี้ยังได้เก็บข้อมูลชื่อแอปอื่นๆ ที่ติดตั้งลงในดีไวซ์ ข้อมูลสำคัญของตัวเครื่อง เช่น โมเดลและเวอร์ชั่น OS นอกจากนี้ผู้ก่อภัยคุกคามยังสามารถดาวน์โหลด ทำเพย์โหลด และดัดแปลงเพย์โหลดให้เหมาะสมกับสภาพแวดล้อมของดีไวซ์ เช่น เวอร์ชั่นแอนดรอยด์ และแอปที่ติดตั้งในดีไวซ์แล้ว วิธีนี้ผู้ก่อเหตุจึงสามารถหลีกเลี่ยงการโอเวอร์โหลดแอปด้วยฟีเจอร์ที่ไม่จำเป็น แต่ยังสามารถเก็บข้อมูลได้ด้วย
การวิจัยเพิ่มเติมระบุว่า “แฟนท่อมแลนซ์” แพร่กระจายในแพลตฟอร์มและตลาดสินค้าที่หลากหลาย เช่น Google Play และ APKpure การทำให้แอปดูเหมือนถูกกฎหมาย ผู้ก่อภัยคุกคามจะปลอมโปรไฟล์นักพัฒนาโดยการสร้างแอ็คเคาท์ Github
และแม้ว่ Play Store จะมีขั้นตอนในการกรองแอป ผู้ก่อภัยคุกคามก็จะอัพโหลดแอปเวอร์ชั่นแรกที่ยังไม่มีเพย์โหลดร้าย แต่เมื่อทำการอัพเดทในภายหลัง ก็จะมีทั้งเพย์โหลดมุ่งร้ายและโค้ดที่ใช้สั่งการเพย์โหลด
จากข้อมูลของ Kaspersky Security Network ตั้งแต่ปี 2016 มีการสังเกตุความพยายามโจมตีมากถึง 300 ครั้งในดีไวซ์ระบบแอนดรอยด์ในประเทศอินเดีย เวียดนาม บังคลาเทศ และอินโดนีเซีย โดยเวียดนามมีจำนวนการพยายามโจมตีสูงสุดเป็นอันดับหนึ่ง และพบว่าแอปร้ายบางตัวในแคมเปญ “แฟนท่อมแลนซ์” นี้ใช้ภาษาเวียดนามโดยเฉพาะ
การใช้ทูลเพื่อหาความคล้ายคลึงของโค้ดอันตรายต่างๆ ทำให้นักวิจัยสามารถระบุได้ว่าเพย์โหลดของแฟนท่อมแลนซ์นั้นมีความคล้ายคลึงกับแคมเปญโจมดีแอนดรอยด์ของกลุ่มโอเชียนโลตัส ซึ่งเป็นผู้ก่อภัยคุกคามตั้งแต่ปี 2013 เป็นอย่างน้อย และมีเป้าหมายโจมตีเน้นภูมิภาคเอเชียตะวันออกเฉียงใต้ นอกจากนี้ ยังพบความคาบเกี่ยวสำคัญในกิจกรรมร้ายในระบบ Windows และ MacOS โดยโอเชียนโลตัสอีกด้วย นักวิจัยของแคสเปอร์สกี้จึงเชื่อว่าแฟนท่อมแลนซ์เกี่ยวโยงกับโอเชียนโลตัส
แคสเปอร์สกี้ได้รายงานการค้นพบทั้งหมดนี้แก่แอปสโตร์ต่างๆ แล้ว โดย Google Play ยืนยันแล้วว่าได้ลบแอปทั้งหมดออกเรียบร้อยแล้ว
อเล็กซี่ เฟิร์ช นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับโลกของแคสเปอร์สกี้ กล่าวว่า “แฟนท่อมแลนซ์เป็นตัวอย่างที่โดดเด่นอย่างมากที่แสดงให้เห็นความก้าวหน้าของผู้ก่อภัยคุกคามที่เคลื่อนไหวเงียบเชียบและหาตัวจับยาก แคมเปญนี้ปฏิบัติการนานกว่าห้าปี ผู้ก่อภัยคุกคามสามารถบายพาสขั้นตอนการกรองของแอปสโตร์ได้หลายครั้ง โดยใช้เทคนิคขั้นสูงเพื่อบรรลุเป้าหมาย เราได้เห็นว่าการใช้โมบายแพลตฟอร์มเป็นจุดแพร่กระจายหลักนั้นเป็นวิธีที่นิยมใช้กันมากขึ้น พัฒนาการทางร้ายของภัยคุกคามนี้ ทำให้คลังข้อมูลอัจฉริยะหรือ Threat Intelligence รวมถึงบริการสนับสนุนต่างๆ ยิ่งมีความสำคัญมากขึ้น เพื่อช่วยติดตามผู้ก่อภัยคุกคามและหาแคมเปญที่เกี่ยวโยงกัน”
อ่านรายงาน “แฟนท่อมแลนซ์” ฉบับเต็มได้ที่ https://securelist.com/apt-phantomlance/96772/
แคสเปอร์สกี้แนะนำวิธีการหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบเจาะจงเป้าหมายสำหรับบุคคลทั่วไปและองค์กรธุรกิจ ดังนี้