Saps alguna cosa sobre PhantomLance Backdoor? Un grup de hackers ha estat utilitzant Google Play per distribuir codi maliciós que s'ha utilitzat per robar dades privades des de finals de 2016.
Els Laboratoris Kaspersky ha compartit un informe detallat sobre la porta del darrere del troià PhantomLance, anomenat una forma sofisticada de codi maliciós, que no només és més difícil de detectar sinó també d'investigar.
Les aplicacions de Google Play Store infectades per PhantomLance Backdoor haurien estat robant dades des del 2016
Kaspersky informa que el codi maliciós bàsicament pot obtenir accés a tota la informació en un telèfon intel·ligent infectat:
L'objectiu principal de PhantomLance és recol·lectar informació confidencial del dispositiu de la víctima. El programari maliciós pot proporcionar als vostres recol·lectors, dades d'ubicació, registres de trucades, missatges de text, llistes d'aplicacions instal·lades i informació completa sobre el telèfon mòbil infectat.
A més, la seva funcionalitat es pot ampliar en qualsevol moment simplement carregant mòduls addicionals des del servidor de C&C.
Malware en aplicacions de Google Play
Durant la investigació, el codi maliciós es va trobar en aplicacions i utilitats populars que permeten als usuaris canviar les fonts, eliminar anuncis i realitzar neteges del sistema. Els desenvolupadors darrere d'aquestes aplicacions van poder evitar qualsevol verificació de seguretat a Google Play Store començant amb versions no malicioses de les aplicacions.
Quan es van publicar les aplicacions, van poder afegir característiques malicioses més endavant a través d'actualitzacions, que Google Play Store no va controlar. Els desenvolupadors també van poder crear perfils únics a GitHub per actuar com a fonts de desenvolupament creïbles.
Segons els informes, els objectius principals de PhantomLance han estat usuaris al Vietnam. Tot i això, les aplicacions infectades també s'han descarregat en altres parts del món. El troià s'ha vinculat a un grup anomenat OceanLotus, que té un historial d'atacs de codi maliciós similars en sistemes operatius d'escriptori. Aquests grups sovint estan recolzats per funcionaris d'alt nivell i fins i tot governs.
Encara que Google ha eliminat aquestes aplicacions de Play Store, encara estan disponibles en línia a diversos llocs web de descàrrega d'APK i altres botigues de tercers.
Sembla que fins i tot si només instal·la aplicacions de Google Play Store, encara no és segur tret que verifiqui l'autenticitat dels desenvolupadors. Una cerca ràpida a Google pot revelar molta informació creïble sobre els desenvolupadors, i si alguna cosa sembla dubtós en els resultats de cerca, eviteu aquestes aplicacions.
La naturalesa oberta d'Android també pot funcionar en contra, ja que qualsevol pot simplement registrar-se a Play Store i publicar una aplicació maliciosa.
Això continua sent alarmant per al sistema operatiu més popular del món, ja sigui descriptori o mòbil. Android s'usa en 2.500 milions de dispositius a tot el món, i Google ha fallat reiteradament a proporcionar garanties adequades de privadesa i seguretat als usuaris, per a les aplicacions que es distribueixen a través del seu mercat oficial.
Si esteu interessats en els antecedents tècnics de com funciona el malware i la investigació que es va dur a terme entre bastidors per Kaspersky Labs, llegiu el vostre informe detallat aquí.