ved du noget om PhantomLance Bagdør? En gruppe hackere har brugt Google Play til at distribuere malware, der er blevet brugt til at stjæle private data siden slutningen af 2016.
Kaspersky Laboratories har delt en detaljeret rapport om PhantomLance Trojan-bagdøren, kaldet en sofistikeret form for malware, som ikke kun er sværere at opdage, men også sværere at undersøge.
Google Play Store apps inficeret af PhantomLance Backdoor har stjålet data siden 2016
Kaspersky rapporterer, at malwaren dybest set kan få adgang til al information på en inficeret smartphone:
Hovedmålet med PhantomLance er at indsamle følsomme oplysninger fra ofrets enhed. Malwaren kan give sine indsamlere lokalitetsdata, opkaldslogger, tekstbeskeder, lister over installerede apps og komplet information om den inficerede mobiltelefon.
Desuden kan dens funktionalitet til enhver tid udvides ved blot at uploade yderligere moduler fra C&C-serveren.
Malware i Google Play-apps
Under undersøgelsen blev malwaren fundet i populære apps og hjælpeprogrammer, der giver brugerne mulighed for at ændre skrifttyper, fjerne annoncer og udføre systemoprydning. Udviklerne bag disse apps var i stand til at omgå enhver sikkerhedskontrol i Google Play Butik ved at starte med ikke-ondsindede versioner af deres apps.
Når apps var blevet offentliggjort, var de i stand til at tilføje ondsindede funktioner senere gennem opdateringer, som Google Play Butik ikke kontrollerede. Udviklere var også i stand til at oprette unikke profiler på GitHub for at fungere som troværdige udviklingskilder.
Hovedmålene for PhantomLance har angiveligt været brugere i Vietnam. Inficerede apps er dog også blevet downloadet i andre dele af verden. Trojaneren er blevet knyttet til en gruppe kaldet OceanLotus, som har en historie med lignende malware-angreb på desktop-operativsystemer. Disse grupper bakkes ofte op af højtstående embedsmænd og endda regeringer.
Selvom Google har fjernet disse apps fra Play Butik, er de stadig tilgængelige online på forskellige APK-downloadwebsteder og andre tredjepartsbutikker.
Det ser ud til, at selvom du kun installerer apps fra Google Play Butik, er det stadig ikke sikkert, medmindre du bekræfter udviklernes ægthed. En hurtig Google-søgning kan afsløre en masse troværdig information om udviklerne, og hvis noget ser tvivlsomt ud i søgeresultaterne, så undgå sådanne apps.
Androids åbne natur kan også modarbejde det, da enhver blot kan tilmelde sig Play Butik og poste en ondsindet app.
Dette er stadig alarmerende for verdens mest populære operativsystem, uanset om det er desktop eller mobil. Android bruges på 2.500 milliarder enheder verden over, og Google har gentagne gange undladt at give tilstrækkelige privatlivs- og sikkerhedsgarantier til brugere for apps, der distribueres via dens officielle markedsplads.
Hvis du er interesseret i den tekniske baggrund for, hvordan malwaren virker, og den forskning, der blev udført bag kulisserne af Kaspersky Labs, kan du læse deres detaljerede rapport her.