tudsz valamit arról PhantomLance hátsó ajtó? Hackerek egy csoportja 2016 vége óta használja a Google Play szolgáltatást olyan rosszindulatú programok terjesztésére, amelyeket személyes adatok ellopására használnak.
A Kaspersky Laboratories részletes jelentést osztott meg a PhantomLance trójai hátsó ajtóról, amelyet a rosszindulatú programok kifinomult formájának neveznek, és amelyet nemcsak nehezebb észlelni, hanem kivizsgálni is.
A PhantomLance Backdoor által megfertőzött Google Play Áruház-alkalmazások 2016 óta lopnak adatokat
A Kaspersky jelentése szerint a kártevő alapvetően a fertőzött okostelefonon lévő összes információhoz tud hozzáférni:
A PhantomLance fő célja, hogy érzékeny információkat gyűjtsön az áldozat eszközéről. A kártevő helyadatokkal, hívásnaplókkal, szöveges üzenetekkel, a telepített alkalmazások listáival, valamint a fertőzött mobiltelefonról teljes információval látja el gyűjtőit.
Ezenkívül a funkcionalitása bármikor bővíthető további modulok egyszerű feltöltésével a C&C szerverről.
Rosszindulatú programok a Google Play alkalmazásokban
A nyomozás során a rosszindulatú programot olyan népszerű alkalmazásokban és segédprogramokban találták meg, amelyek lehetővé teszik a felhasználók számára a betűtípusok megváltoztatását, a hirdetések eltávolítását és a rendszertisztítást. Az alkalmazások mögött álló fejlesztők meg tudták kerülni a Google Play Áruház biztonsági ellenőrzését, és elindították alkalmazásaik nem rosszindulatú verzióit.
Az alkalmazások közzététele után a frissítések révén később rosszindulatú funkciókat tudtak hozzáadni, amelyeket a Google Play Áruház nem szabályozott. A fejlesztők egyedi profilokat is létrehozhattak a GitHubon, hogy hiteles fejlesztési forrásként szolgáljanak.
A PhantomLance fő célpontjai állítólag a vietnami felhasználók voltak. A fertőzött alkalmazásokat azonban a világ más részein is letöltötték. A trójai az OceanLotus nevű csoporthoz kapcsolódtak, amely hasonló kártevő-támadásokat követett el asztali operációs rendszereket. Ezeket a csoportokat gyakran magas szintű tisztviselők, sőt kormányok is támogatják.
Bár a Google eltávolította ezeket az alkalmazásokat a Play Áruházból, továbbra is elérhetők az interneten a különböző APK-letöltő webhelyeken és más harmadik féltől származó üzletekben.
Úgy tűnik, hogy még ha csak a Google Play Áruházból telepít alkalmazásokat, akkor sem biztonságos, hacsak nem ellenőrzi a fejlesztők hitelességét. Egy gyors Google-keresés sok hiteles információt tárhat fel a fejlesztőkről, és ha valami kétesnek tűnik a keresési eredmények között, kerülje az ilyen alkalmazásokat.
Az Android nyitott természete is ellene hathat, hiszen bárki egyszerűen regisztrálhat a Play Áruházba, és közzétehet egy rosszindulatú alkalmazást.
Ez még mindig riasztó a világ legnépszerűbb operációs rendszere számára, legyen az asztali vagy mobil. Az Androidot 2.500 milliárd eszközön használják világszerte, és a Google többször is elmulasztotta megfelelő adatvédelmi és biztonsági garanciákat nyújtani a felhasználóknak a hivatalos piacterén keresztül terjesztett alkalmazások esetében.
Ha érdekli a kártevő működésének technikai háttere és a Kaspersky Labs által a színfalak mögött végzett kutatás, itt olvashatja el részletes beszámolójukat.