tiedätkö mitään PhantomLance-takaovi? Joukko hakkereita on käyttänyt Google Playta jakaakseen haittaohjelmia, joita on käytetty yksityisten tietojen varastamiseen vuoden 2016 lopusta lähtien.
Kaspersky Laboratories on jakanut yksityiskohtaisen raportin PhantomLance Troijan takaovesta, jota kutsutaan kehittyneeksi haittaohjelmien muodoksi, jota ei ole vain vaikeampi havaita, vaan myös vaikeampi tutkia.
PhantomLance Backdoorin tartunnan saaneet Google Play Kaupan sovellukset ovat varastaneet tietoja vuodesta 2016 lähtien
Kaspersky raportoi, että haittaohjelma voi periaatteessa päästä käsiksi kaikkiin tartunnan saaneen älypuhelimen tietoihin:
PhantomLancen päätavoite on kerätä arkaluontoisia tietoja uhrin laitteelta. Haittaohjelma voi tarjota kerääjilleen sijaintitietoja, puhelulokeja, tekstiviestejä, luetteloita asennetuista sovelluksista ja täydelliset tiedot tartunnan saaneesta matkapuhelimesta.
Lisäksi sen toimintoja voidaan laajentaa milloin tahansa yksinkertaisesti lataamalla lisämoduuleja C&C-palvelimelta.
Haittaohjelmat Google Play -sovelluksissa
Tutkinnan aikana haittaohjelma löydettiin suosituista sovelluksista ja apuohjelmista, joiden avulla käyttäjät voivat vaihtaa kirjasimia, poistaa mainoksia ja suorittaa järjestelmän siivouksia. Näiden sovellusten kehittäjät pystyivät ohittamaan kaikki Google Play Kaupan tietoturvatarkastukset aloittamalla sovellustensa ei-haitallisilla versioilla.
Kun sovellukset oli julkaistu, ne pystyivät lisäämään haitallisia ominaisuuksia myöhemmin päivitysten kautta, joita Google Play Kauppa ei voinut hallita. Kehittäjät pystyivät myös luomaan ainutlaatuisia profiileja GitHubissa toimiakseen uskottavina kehityslähteinä.
PhantomLancen pääkohteet ovat tiettävästi olleet käyttäjiä Vietnamissa. Tartunnan saaneita sovelluksia on kuitenkin ladattu myös muualta maailmasta. Troijalainen on linkitetty OceanLotus-nimiseen ryhmään, jolla on aiemmin ollut samanlaisia haittaohjelmahyökkäyksiä työpöytäkäyttöjärjestelmiin. Näitä ryhmiä tukevat usein korkean tason virkamiehet ja jopa hallitukset.
Vaikka Google on poistanut nämä sovellukset Play Kaupasta, ne ovat edelleen saatavilla verkossa useilla APK-lataussivustoilla ja muissa kolmansien osapuolien kaupoissa.
Vaikuttaa siltä, että vaikka asennat sovelluksia vain Google Play Kaupasta, se ei silti ole turvallista, ellet vahvista kehittäjien aitoutta. Nopea Google-haku voi paljastaa paljon uskottavaa tietoa kehittäjistä, ja jos jokin näyttää epäilyttävältä hakutuloksissa, vältä tällaisia sovelluksia.
Androidin avoin luonne voi myös toimia sitä vastaan, koska kuka tahansa voi yksinkertaisesti rekisteröityä Play Kauppaan ja julkaista haitallisen sovelluksen.
Tämä on edelleen hälyttävää maailman suosituimmalle käyttöjärjestelmälle, oli se sitten pöytätietokone tai mobiililaite. Androidia käytetään 2.500 miljardissa laitteessa maailmanlaajuisesti, eikä Google ole toistuvasti onnistunut tarjoamaan käyttäjille riittäviä tietosuoja- ja turvallisuustakuita sovelluksille, joita jaetaan sen virallisen markkinapaikan kautta.
Jos olet kiinnostunut haittaohjelman toiminnan teknisestä taustasta ja Kaspersky Labsin kulissien takana tekemästä tutkimuksesta, lue heidän yksityiskohtainen raporttinsa täältä.