Google’ın sahibi olduğu android işletim sistemini kullanan akıllı telefonlar ve diğer cihazlar, güvenlik ihlalleriyle sık sık gündeme geliyor. Google, her ne kadar bu durumlar için birçok önlem alsa da yeni saldırılar yapılmaya devam ediyor. Kaspersky araştırmacıları, Android cihazlarını hedef alan gelişmiş bir saldırı belirledi. Kaspersky açıklamasına göre, araştırmacılar tarafından tespit edilen saldırının “OceanLotus” isimli gelişmiş kalıcı saldırı grubuyla bağlantılı olabileceği tahmin ediliyor. “PhantomLance” adı verilen saldırı, 2015’ten bu yana devam ediyor. Kurbanların verilerini ele geçirmek için tasarlanan karmaşık bir casus yazılımının çeşitli sürümlerinin ve akıllı dağıtım taktiklerinin kullanıldığı saldırı, Google Play’deki uygulamalar aracılığıyla kurbanlarını hedef alıyor. 
Temmuz 2019’da üçüncü taraf güvenlik araştırmacıları, Google Play’de yeni bir casus yazılımı keşfettiklerini açıklamıştı. Gelişmişlik düzeyi ve davranışları resmi uygulama mağazalarına yüklenen diğer Truva atlarından çok farklı olan bu yazılım, Kaspersky’nin dikkatini çekti. Kaspersky araştırmacıları, bu zararlı yazılıma çok benzeyen başka bir örneği Google Play’de tespit etti. Zararlı yazılım geliştiricileri, uygulamalarını yasal mağazalara yüklemeyi başardıktan sonra indirme sayısını ve bununla beraber kurban sayısını artırmak için uygulamanın tanıtımına büyük yatırım yapıyor. Ancak bu uygulamaların Google’ın güvenlik duvarından geçerek Google Play’de nasıl yayınlandığı bilinmiyor. 
Uygulama sürümlerinin hepsinde temel amaç, bilgi toplamaktı. Temel işlev çok geniş olmasa da konum, arama kayıtları, iletişim bilgileri ve kısa mesaj erişiminin yanı sıra kurulu uygulamalar, cihazın modeli ve işletim sistemi ile ilgili bilgilerin toplandığı görüldü. Ayrıca, tehdit grubunun başka zararlı yazılımlar indirip kurabildiği, böylece saldırıyı cihazın Android sürümüne ve sahip olduğu uygulamalara göre değiştirebildiği anlaşıldı. Tehdit grubu, bu sayede uygulamayı çok gerekli olmayan özelliklerle doldurmak zorunda kalmadan istediği bilgileri toplayabiliyordu. 
2013’ten beri aktif olan OceanLotus grubu, genellikle Güneydoğu Asya’daki kurbanları hedef alıyor. Kaspersky, keşfettiği tüm örnekleri yasal uygulama mağazalarına bildirdi ve Google, bu uygulamaların Google Play’den kaldırıldığını doğruladı. Ancak, kaldırılan uygulamaların yerine yenilerinin gelmeyeceğine dair bir garanti yok. Görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırmacısı Alexey Firsh, bu saldırının, gelişmiş tehdit gruplarının tespit edilmemek için ne kadar karmaşık önlemler aldığının büyük bir örneği olduğunu belirterek, şu ifadeleri kullandı: “PhantomLance, 5 yıldan fazla süredir devam ediyor ve tehdit grupları uygulama mağazalarının filtrelerini, kullandıkları gelişmiş yöntemlerle defalarca delmeyi başardı. Ana sızma noktası olarak mobil platformların kullanıldığı örnekler giderek sıklaşıyor. Çoğu tehdit grubu, bu alanı hedef almaya başladı. Bu gelişmeler tehdit istihbaratı ve destekleyici hizmetlerin ne kadar önemli olduğunun altını çiziyor. Bu hizmetler sayesinde tehdit gruplarını takip edip eski saldırılardaki benzerlikleri tespit etmek mümkün oluyor.”
Temmuz 2019’da üçüncü taraf güvenlik araştırmacıları, Google Play’de yeni bir casus yazılımı keşfettiklerini açıklamıştı. Gelişmişlik düzeyi ve davranışları resmi uygulama mağazalarına yüklenen diğer Truva atlarından çok farklı olan bu yazılım, Kaspersky’nin dikkatini çekti. Kaspersky araştırmacıları, bu zararlı yazılıma çok benzeyen başka bir örneği Google Play’de tespit etti. Zararlı yazılım geliştiricileri, uygulamalarını yasal mağazalara yüklemeyi başardıktan sonra indirme sayısını ve bununla beraber kurban sayısını artırmak için uygulamanın tanıtımına büyük yatırım yapıyor. Ancak bu uygulamaların Google’ın güvenlik duvarından geçerek Google Play’de nasıl yayınlandığı bilinmiyor. Uygulama sürümlerinin hepsinde temel amaç, bilgi toplamaktı. Temel işlev çok geniş olmasa da konum, arama kayıtları, iletişim bilgileri ve kısa mesaj erişiminin yanı sıra kurulu uygulamalar, cihazın modeli ve işletim sistemi ile ilgili bilgilerin toplandığı görüldü. Ayrıca, tehdit grubunun başka zararlı yazılımlar indirip kurabildiği, böylece saldırıyı cihazın Android sürümüne ve sahip olduğu uygulamalara göre değiştirebildiği anlaşıldı. Tehdit grubu, bu sayede uygulamayı çok gerekli olmayan özelliklerle doldurmak zorunda kalmadan istediği bilgileri toplayabiliyordu. 2013’ten beri aktif olan OceanLotus grubu, genellikle Güneydoğu Asya’daki kurbanları hedef alıyor. Kaspersky, keşfettiği tüm örnekleri yasal uygulama mağazalarına bildirdi ve Google, bu uygulamaların Google Play’den kaldırıldığını doğruladı. Ancak, kaldırılan uygulamaların yerine yenilerinin gelmeyeceğine dair bir garanti yok. Görüşlerine yer verilen Kaspersky GReAT Güvenlik Araştırmacısı Alexey Firsh, bu saldırının, gelişmiş tehdit gruplarının tespit edilmemek için ne kadar karmaşık önlemler aldığının büyük bir örneği olduğunu belirterek, şu ifadeleri kullandı: “PhantomLance, 5 yıldan fazla süredir devam ediyor ve tehdit grupları uygulama mağazalarının filtrelerini, kullandıkları gelişmiş yöntemlerle defalarca delmeyi başardı. Ana sızma noktası olarak mobil platformların kullanıldığı örnekler giderek sıklaşıyor. Çoğu tehdit grubu, bu alanı hedef almaya başladı. Bu gelişmeler tehdit istihbaratı ve destekleyici hizmetlerin ne kadar önemli olduğunun altını çiziyor. Bu hizmetler sayesinde tehdit gruplarını takip edip eski saldırılardaki benzerlikleri tespit etmek mümkün oluyor.”
