Temmuz 2019’da üçüncü taraf güvenlik araştırmacıları Google Play’de yeni bir casus yazılımı keşfettiklerini raporladı. Gelişmişlik düzeyi ve davranışları resmi uygulama mağazalarına yüklenen diğer Truva atlarından çok farklı olan bu yazılım Kaspersky’nin dikkatini çekti. Kaspersky araştırmacıları bu zararlı yazılıma çok benzeyen başka bir örneği Google Play’de tespit etti. Zararlı yazılım geliştiricileri uygulamalarını yasal mağazalara yüklemeyi başardıktan sonra, indirme sayısını ve bununla beraber kurban sayısını artırmak için uygulamanın tanıtımına büyük yatırım yapar. Ancak bu yeni keşfedilen zararlı uygulamalarda durum böyle değildi. Geliştiricilerin uygulamayı geniş kitlelere yaymakla çok ilgilenmediği görüldü. Araştırmacılar için bu durum hedefli bir APT saldırısının göstergesi oldu. Devam eden araştırmalarda bu zararlı yazılımın benzer kodlar taşıyan çok sayıda sürümü keşfedildi.

Sürümlerin hepsinde temel amaç bilgi toplamaktı. Temel işlev çok geniş olmasa da konum, arama kayıtları, iletişim bilgileri ve SMS erişiminin yanı sıra kurulu uygulamalar, cihazın modeli ve işletim sistemi ile ilgili bilgilerin toplandığı görüldü. Ayrıca tehdit grubunun başka zararlı yazılımlar indirip kurabildiği böylece saldırıyı cihazın Android sürümüne ve sahip olduğu uygulamalara göre değiştirebildiği anlaşıldı. Tehdit grubu bu sayede uygulamayı çok gerekli olmayan özelliklerle doldurmak zorunda kalmadan istediği bilgileri toplayabiliyordu.

Süren araştırmalarda PhantomLance’in Google Play ve APKpure’un da dahil olduğu birçok platform ve pazar yerinde varlık gösterdiği tespit edildi. Uygulamaların yasal gibi görünmesi için saldırganlar bir Github hesabı açarak sahte bir geliştirici profili oluşturdu. Pazar yerlerinin filtre mekanizmalarından kaçınmak içinse uygulamanın pazar yerine yüklenen ilk sürümüne hiçbir zararlı işlev eklenmiyordu. Ancak sonra gelen güncellemelerle uygulamalara zararlı işlevler ve bunları çalıştıracak kodlar eklendi.

Uzmanların elde ettiği verilere göre 2016’dan bu yana Hindistan, Vietnam, Bangladeş ve Endonezya’da 300’den fazla Android cihazına izinsiz giriş denemesi yapıldı. Tespit istatistiklerine ikincil sızıntılar dahil olsa da Vietnam saldırı teşebbüsünün en çok rastlandığı ülke oldu. Saldırıda kullanılan bazı zararlı uygulamaların özel olarak Vietnamca olduğu da görüldü.

Uzmanların farklı zararlı kodlar arasındaki benzerlikleri bulmaya yarayan aracı sayesinde araştırmacılar, PhantomLance’teki kodların en yüzde 20’sinin OceanLotus adlı gruba atfedilen eski bir Android saldırısıyla benzerlik gösterdiğini belirledi. 2013’ten beri aktif olan OceanLotus grubu genellikle Güneydoğu Asya’daki kurbanları hedef alıyor. Ayrıca OpenLotus’un Windows ve MacOS’teki faaliyetleriyle de önemli benzerlikler tespit edildi. Kaspersky araştırmacıları buradan hareketle PhantomLance saldırısının OceanLotus ile bağlantılı olabileceğini dile getirdi.

Uzmanlar, keşfettiği tüm örnekleri yasal uygulama mağazalarına bildirdi. Google, bu uygulamaların Google Play’den kaldırıldığını doğruladı.