знаеш ли нещо за PhantomLance Backdoor? Група хакери използва Google Play за разпространение на злонамерен софтуер, който се използва за кражба на лични данни от края на 2016 г.
Kaspersky Laboratories сподели подробен доклад за троянския бекдор PhantomLance, наречен сложна форма на зловреден софтуер, който е не само по-труден за откриване, но и по-труден за разследване.
Приложенията от Google Play Store, заразени с PhantomLance Backdoor, крадат данни от 2016 г.
Kaspersky съобщава, че зловредният софтуер може основно да получи достъп до цялата информация на заразен смартфон:
Основната цел на PhantomLance е да събира чувствителна информация от устройството на жертвата. Зловредният софтуер може да предостави на своите колекционери данни за местоположение, дневници на обажданията, текстови съобщения, списъци с инсталирани приложения и пълна информация за заразения мобилен телефон.
Освен това неговата функционалност може да бъде разширена по всяко време чрез просто качване на допълнителни модули от C&C сървъра.
Зловреден софтуер в приложенията на Google Play
По време на разследването злонамереният софтуер е открит в популярни приложения и помощни програми, които позволяват на потребителите да променят шрифтове, да премахват реклами и да извършват почистване на системата. Разработчиците зад тези приложения успяха да заобиколят всякакви проверки за сигурност в Google Play Store, като започнаха с не-злонамерени версии на своите приложения.
След като приложенията бяха публикувани, те успяха да добавят злонамерени функции по-късно чрез актуализации, които Google Play Store не контролираше. Разработчиците също успяха да създадат уникални профили в GitHub, за да действат като надеждни източници за разработка.
Съобщава се, че основните цели на PhantomLance са били потребители във Виетнам. Въпреки това, заразени приложения са изтеглени и в други части на света. Троянецът е свързан с група, наречена OceanLotus, която има история на подобни атаки на зловреден софтуер върху настолни операционни системи. Тези групи често са подкрепяни от високопоставени служители и дори от правителства.
Въпреки че Google премахна тези приложения от Play Store, те все още са достъпни онлайн на различни уебсайтове за изтегляне на APK и други магазини на трети страни.
Изглежда, че дори и да инсталирате приложения само от Google Play Store, пак не е безопасно, освен ако не проверите автентичността на разработчиците. Едно бързо търсене в Google може да разкрие много достоверна информация за разработчиците и ако нещо изглежда съмнително в резултатите от търсенето, избягвайте такива приложения.
Отвореният характер на Android също може да работи срещу него, тъй като всеки може просто да се регистрира за Play Store и да публикува злонамерено приложение.
Това все още е тревожно за най-популярната операционна система в света, независимо дали е настолна или мобилна. Android се използва на 2.500 милиарда устройства по целия свят и Google многократно не успя да осигури адекватни гаранции за поверителност и сигурност на потребителите за приложения, които се разпространяват чрез официалния пазар.
Ако се интересувате от техническия фон на това как работи зловредният софтуер и изследванията, извършени зад кулисите от Kaspersky Labs, прочетете техния подробен доклад тук.