kas sa tead midagi PhantomLance'i tagauks? Rühm häkkereid on alates 2016. aasta lõpust kasutanud Google Playd, et levitada pahavara, mida on kasutatud privaatsete andmete varastamiseks.
Kaspersky Laboratories on jaganud üksikasjalikku aruannet PhantomLance Trooja tagaukse kohta, mida nimetatakse pahavara keerukaks vormiks ja mida pole mitte ainult raskem tuvastada, vaid ka raskem uurida.
PhantomLance Backdoori nakatunud Google Play poe rakendused on andmeid varastanud alates 2016. aastast
Kaspersky teatab, et pahavara pääseb põhimõtteliselt ligi kogu nakatunud nutitelefonis olevale teabele:
PhantomLance'i põhieesmärk on koguda ohvri seadmest tundlikku teavet. Pahavara võib anda oma kogujatele asukohaandmeid, kõneloge, tekstsõnumeid, installitud rakenduste loendeid ja täielikku teavet nakatunud mobiiltelefoni kohta.
Lisaks saab selle funktsionaalsust igal ajal laiendada, laadides lihtsalt üles lisamooduleid C&C serverist.
Pahavara Google Play rakendustes
Uurimise käigus leiti pahavara populaarsetest rakendustest ja utiliitidest, mis võimaldavad kasutajatel fonte muuta, reklaame eemaldada ja süsteemi puhastada. Nende rakenduste taga olevad arendajad suutsid Google Play poe turvakontrollidest mööda minna, alustades oma rakenduste mittepahatahtlike versioonidega.
Pärast rakenduste avaldamist said need hiljem värskenduste kaudu lisada pahatahtlikke funktsioone, mida Google Play pood ei kontrollinud. Samuti suutsid arendajad luua GitHubis ainulaadseid profiile, et toimida usaldusväärsete arendusallikatena.
PhantomLance'i peamised sihtmärgid on väidetavalt olnud Vietnami kasutajad. Nakatunud rakendusi on aga alla laaditud ka mujal maailmas. Troojalane on seotud grupiga nimega OceanLotus, millel on varem olnud sarnaseid pahavararünnakuid lauaarvutite operatsioonisüsteemide vastu. Neid rühmitusi toetavad sageli kõrgetasemelised ametnikud ja isegi valitsused.
Kuigi Google on need rakendused Play poest eemaldanud, on need siiski Internetis saadaval erinevatel APK allalaadimise veebisaitidel ja muudes kolmandate osapoolte poodides.
Tundub, et isegi kui installite rakendusi ainult Google Play poest, pole see siiski ohutu, kui te ei kontrolli arendajate autentsust. Kiire Google'i otsing võib paljastada palju usaldusväärset teavet arendajate kohta ja kui midagi tundub otsingutulemustes kahtlane, vältige selliseid äppe.
Selle vastu võib töötada ka Androidi avatud olemus, sest igaüks võib lihtsalt registreeruda Play poodi ja avaldada pahatahtliku rakenduse.
See on endiselt murettekitav maailma populaarseima operatsioonisüsteemi jaoks, olgu see siis lauaarvuti või mobiilne. Androidi kasutatakse üle maailma 2.500 miljardis seadmes ning Google ei ole korduvalt suutnud pakkuda kasutajatele piisavaid privaatsuse ja turvalisuse garantiisid rakenduste puhul, mida levitatakse tema ametliku turu kaudu.
Kui teid huvitab pahavara toimimise tehniline taust ja Kaspersky Labsi kulisside taga läbi viidud uuringud, lugege nende üksikasjalikku aruannet siit.