víte něco o Zadní vrátka PhantomLance? Skupina hackerů od konce roku 2016 používá Google Play k distribuci malwaru, který byl používán ke krádeži soukromých dat.
Společnost Kaspersky Laboratories sdílela podrobnou zprávu o zadních vrátkách trojského koně PhantomLance, nazvaném sofistikovaná forma malwaru, který je nejen obtížnější odhalit, ale také hůře vyšetřovat.
Aplikace z Obchodu Google Play infikované PhantomLance Backdoor kradou data od roku 2016
Kaspersky uvádí, že malware může v podstatě získat přístup ke všem informacím na infikovaném smartphonu:
Hlavním cílem PhantomLance je sbírat citlivé informace ze zařízení oběti. Malware může svým sběratelům poskytnout údaje o poloze, protokoly hovorů, textové zprávy, seznamy nainstalovaných aplikací a kompletní informace o infikovaném mobilním telefonu.
Jeho funkčnost lze navíc kdykoli rozšířit pouhým nahráním dalších modulů ze serveru C&C.
Malware v aplikacích Google Play
Během vyšetřování byl malware nalezen v oblíbených aplikacích a nástrojích, které uživatelům umožňují měnit písma, odstraňovat reklamy a provádět čištění systému. Vývojáři za těmito aplikacemi dokázali obejít jakékoli bezpečnostní kontroly v Obchodě Google Play tím, že začali s verzemi svých aplikací, které nejsou škodlivé.
Jakmile byly aplikace zveřejněny, mohly později prostřednictvím aktualizací přidat škodlivé funkce, které obchod Google Play nekontroloval. Vývojáři byli také schopni vytvořit jedinečné profily na GitHubu, aby fungovaly jako důvěryhodné zdroje vývoje.
Hlavním cílem PhantomLance byli údajně uživatelé ve Vietnamu. Infikované aplikace však byly staženy i v jiných částech světa. Trojan byl spojen se skupinou OceanLotus, která má za sebou historii podobných malwarových útoků na desktopové operační systémy. Tyto skupiny jsou často podporovány vysokými úředníky a dokonce vládami.
Přestože Google tyto aplikace z Obchodu Play odstranil, jsou stále dostupné online na různých webech pro stahování souborů APK a v jiných obchodech třetích stran.
Zdá se, že i když instalujete pouze aplikace z obchodu Google Play, stále to není bezpečné, pokud neověříte pravost vývojářů. Rychlé vyhledávání Googlem může odhalit spoustu důvěryhodných informací o vývojářích, a pokud něco ve výsledcích vyhledávání vypadá pochybně, vyhněte se takovým aplikacím.
Proti tomu může hrát i otevřenost Androidu, protože kdokoli se může jednoduše zaregistrovat do Obchodu Play a publikovat škodlivou aplikaci.
To je stále alarmující pro nejpopulárnější operační systém na světě, ať už jde o stolní počítače nebo mobilní zařízení. Android se používá na 2.500 miliardách zařízení po celém světě a Google opakovaně neposkytoval uživatelům dostatečné záruky ochrany soukromí a zabezpečení pro aplikace, které jsou distribuovány prostřednictvím jeho oficiálního tržiště.
Pokud vás zajímá technické pozadí fungování malwaru a výzkum, který v zákulisí provedla společnost Kaspersky Labs, přečtěte si jejich podrobnou zprávu zde.