savez-vous quelque chose sur Porte dérobée PhantomLance? Un groupe de pirates utilise Google Play pour distribuer des logiciels malveillants qui ont été utilisés pour voler des données privées depuis fin 2016.
Kaspersky Laboratories a partagé un rapport détaillé sur la porte dérobée du cheval de Troie PhantomLance, surnommé une forme sophistiquée de malware, qui est non seulement plus difficile à détecter mais aussi plus difficile à investiguer.
Les applications Google Play Store infectées par PhantomLance Backdoor volent des données depuis 2016
Kaspersky rapporte que le malware peut essentiellement accéder à toutes les informations sur un smartphone infecté :
L'objectif principal de PhantomLance est de collecter des informations sensibles à partir de l'appareil de la victime. Le logiciel malveillant peut fournir à ses collecteurs des données de localisation, des journaux d'appels, des messages texte, des listes d'applications installées et des informations complètes sur le téléphone mobile infecté.
De plus, ses fonctionnalités peuvent être étendues à tout moment en téléchargeant simplement des modules supplémentaires depuis le serveur C&C.
Logiciels malveillants dans les applications Google Play
Au cours de l'enquête, le logiciel malveillant a été découvert dans des applications et des utilitaires populaires qui permettent aux utilisateurs de modifier les polices, de supprimer les publicités et d'effectuer des nettoyages du système. Les développeurs derrière ces applications ont pu contourner tous les contrôles de sécurité sur le Google Play Store en commençant par des versions non malveillantes de leurs applications.
Une fois les applications publiées, elles ont pu ajouter des fonctionnalités malveillantes ultérieurement via des mises à jour, que le Google Play Store ne contrôlait pas. Les développeurs ont également pu créer des profils uniques sur GitHub pour agir en tant que sources de développement crédibles.
Les principales cibles de PhantomLance auraient été les utilisateurs au Vietnam. Cependant, des applications infectées ont également été téléchargées dans d'autres parties du monde. Le cheval de Troie a été lié à un groupe appelé OceanLotus, qui a un historique d'attaques de logiciels malveillants similaires sur les systèmes d'exploitation de bureau. Ces groupes sont souvent soutenus par des hauts fonctionnaires et même des gouvernements.
Bien que Google ait supprimé ces applications du Play Store, elles sont toujours disponibles en ligne sur divers sites Web de téléchargement d'APK et d'autres magasins tiers.
Il semble que même si vous n'installez que des applications à partir du Google Play Store, ce n'est toujours pas sûr à moins que vous ne vérifiiez l'authenticité des développeurs. Une recherche rapide sur Google peut révéler de nombreuses informations crédibles sur les développeurs, et si quelque chose semble douteux dans les résultats de la recherche, évitez ces applications.
La nature ouverte d'Android peut également s'y opposer, car n'importe qui peut simplement s'inscrire au Play Store et publier une application malveillante.
C'est toujours alarmant pour le système d'exploitation le plus populaire au monde, qu'il soit de bureau ou mobile. Android est utilisé sur 2.500 milliards d'appareils dans le monde et Google a omis à plusieurs reprises de fournir des garanties de confidentialité et de sécurité adéquates aux utilisateurs pour les applications distribuées via son marché officiel.
Si vous êtes intéressé par le contexte technique du fonctionnement du logiciel malveillant et les recherches menées en coulisses par Kaspersky Labs, lisez leur rapport détaillé ici.