ξέρεις τίποτα για Πόρτα PhantomLance? Μια ομάδα χάκερ χρησιμοποιεί το Google Play για τη διανομή κακόβουλου λογισμικού που έχει χρησιμοποιηθεί για την κλοπή προσωπικών δεδομένων από τα τέλη του 2016.
Η Kaspersky Laboratories μοιράστηκε μια λεπτομερή αναφορά για την κερκόπορτα PhantomLance Trojan, η οποία ονομάστηκε μια εξελιγμένη μορφή κακόβουλου λογισμικού, η οποία όχι μόνο είναι πιο δύσκολο να εντοπιστεί αλλά και πιο δύσκολο να διερευνηθεί.
Οι εφαρμογές του Google Play Store που έχουν μολυνθεί από το PhantomLance Backdoor κλέβουν δεδομένα από το 2016
Η Kaspersky αναφέρει ότι το κακόβουλο λογισμικό μπορεί βασικά να αποκτήσει πρόσβαση σε όλες τις πληροφορίες σε ένα μολυσμένο smartphone:
Ο κύριος στόχος του PhantomLance είναι να συλλέγει ευαίσθητες πληροφορίες από τη συσκευή του θύματος. Το κακόβουλο λογισμικό μπορεί να παρέχει στους συλλέκτες του δεδομένα τοποθεσίας, αρχεία καταγραφής κλήσεων, μηνύματα κειμένου, λίστες εγκατεστημένων εφαρμογών και πλήρεις πληροφορίες σχετικά με το μολυσμένο κινητό τηλέφωνο.
Επιπλέον, η λειτουργικότητά του μπορεί να επεκταθεί ανά πάσα στιγμή ανεβάζοντας απλώς πρόσθετες μονάδες από τον διακομιστή C&C.
Κακόβουλο λογισμικό σε εφαρμογές Google Play
Κατά τη διάρκεια της έρευνας, το κακόβουλο λογισμικό βρέθηκε σε δημοφιλείς εφαρμογές και βοηθητικά προγράμματα που επιτρέπουν στους χρήστες να αλλάζουν γραμματοσειρές, να αφαιρούν διαφημίσεις και να εκτελούν καθαρισμούς συστήματος. Οι προγραμματιστές πίσω από αυτές τις εφαρμογές μπόρεσαν να παρακάμψουν τυχόν ελέγχους ασφαλείας στο Google Play Store ξεκινώντας με μη κακόβουλες εκδόσεις των εφαρμογών τους.
Μόλις δημοσιεύτηκαν οι εφαρμογές, μπόρεσαν να προσθέσουν κακόβουλες λειτουργίες αργότερα μέσω ενημερώσεων, τις οποίες δεν έλεγχε το Google Play Store. Οι προγραμματιστές μπόρεσαν επίσης να δημιουργήσουν μοναδικά προφίλ στο GitHub για να λειτουργήσουν ως αξιόπιστες πηγές ανάπτυξης.
Οι κύριοι στόχοι του PhantomLance φέρεται να ήταν χρήστες στο Βιετνάμ. Ωστόσο, έχουν γίνει λήψη μολυσμένων εφαρμογών και σε άλλα μέρη του κόσμου. Το Trojan έχει συνδεθεί με μια ομάδα που ονομάζεται OceanLotus, η οποία έχει ιστορικό παρόμοιων επιθέσεων κακόβουλου λογισμικού σε λειτουργικά συστήματα επιτραπέζιων υπολογιστών. Αυτές οι ομάδες υποστηρίζονται συχνά από υψηλόβαθμους αξιωματούχους, ακόμη και από κυβερνήσεις.
Αν και η Google έχει αφαιρέσει αυτές τις εφαρμογές από το Play Store, εξακολουθούν να είναι διαθέσιμες στο διαδίκτυο σε διάφορους ιστότοπους λήψης APK και σε άλλα καταστήματα τρίτων.
Φαίνεται ότι ακόμα κι αν εγκαταστήσετε εφαρμογές μόνο από το Google Play Store, εξακολουθεί να μην είναι ασφαλές, εκτός εάν επαληθεύσετε την αυθεντικότητα των προγραμματιστών. Μια γρήγορη αναζήτηση στο Google μπορεί να αποκαλύψει πολλές αξιόπιστες πληροφορίες για τους προγραμματιστές και αν κάτι φαίνεται αμφίβολο στα αποτελέσματα αναζήτησης, αποφύγετε τέτοιες εφαρμογές.
Η ανοιχτή φύση του Android μπορεί επίσης να λειτουργήσει εναντίον του, καθώς ο καθένας μπορεί απλώς να εγγραφεί στο Play Store και να δημοσιεύσει μια κακόβουλη εφαρμογή.
Αυτό εξακολουθεί να είναι ανησυχητικό για το πιο δημοφιλές λειτουργικό σύστημα στον κόσμο, είτε είναι επιτραπέζιο είτε κινητό. Το Android χρησιμοποιείται σε 2.500 δισεκατομμύρια συσκευές παγκοσμίως και η Google έχει επανειλημμένα αποτύχει να παράσχει επαρκείς εγγυήσεις απορρήτου και ασφάλειας στους χρήστες για εφαρμογές που διανέμονται μέσω της επίσημης αγοράς της.
Εάν ενδιαφέρεστε για το τεχνικό υπόβαθρο του τρόπου λειτουργίας του κακόβουλου λογισμικού και την έρευνα που διεξήχθη στα παρασκήνια από την Kaspersky Labs, διαβάστε εδώ τη λεπτομερή αναφορά τους.