ne sai qualcosa Fantasma Lance Backdoor? Un gruppo di hacker utilizza Google Play per distribuire malware utilizzato per rubare dati privati dalla fine del 2016.
Kaspersky Laboratories ha condiviso un rapporto dettagliato sulla backdoor del Trojan PhantomLance, soprannominata una forma sofisticata di malware, che non è solo più difficile da rilevare ma anche da indagare.
Le app di Google Play Store infettate da PhantomLance Backdoor rubano dati dal 2016
Kaspersky riferisce che il malware può sostanzialmente accedere a tutte le informazioni su uno smartphone infetto:
L'obiettivo principale di PhantomLance è raccogliere informazioni sensibili dal dispositivo della vittima. Il malware può fornire ai suoi raccoglitori dati sulla posizione, registri delle chiamate, messaggi di testo, elenchi di app installate e informazioni complete sul telefono cellulare infetto.
Inoltre, la sua funzionalità può essere estesa in qualsiasi momento semplicemente caricando moduli aggiuntivi dal server C&C.
Malware nelle app di Google Play
Durante l'indagine, il malware è stato trovato in app e utilità popolari che consentono agli utenti di modificare i caratteri, rimuovere gli annunci pubblicitari ed eseguire la pulizia del sistema. Gli sviluppatori dietro queste app sono stati in grado di aggirare qualsiasi controllo di sicurezza sul Google Play Store iniziando con versioni non dannose delle loro app.
Una volta pubblicate, le app sono state in grado di aggiungere funzionalità dannose in un secondo momento tramite aggiornamenti, che il Google Play Store non controllava. Gli sviluppatori sono stati anche in grado di creare profili unici su GitHub per fungere da fonti di sviluppo credibili.
Secondo quanto riferito, i principali obiettivi di PhantomLance sono stati gli utenti in Vietnam. Tuttavia, app infette sono state scaricate anche in altre parti del mondo. Il Trojan è stato collegato a un gruppo chiamato OceanLotus, che ha una storia di attacchi malware simili sui sistemi operativi desktop. Questi gruppi sono spesso sostenuti da funzionari di alto livello e persino da governi.
Sebbene Google abbia rimosso queste app dal Play Store, sono ancora disponibili online su vari siti Web di download di APK e altri negozi di terze parti.
Sembra che anche se installi app solo dal Google Play Store, non sia comunque sicuro a meno che tu non verifichi l'autenticità degli sviluppatori. Una rapida ricerca su Google può rivelare molte informazioni credibili sugli sviluppatori e se qualcosa sembra dubbio nei risultati della ricerca, evita tali app.
La natura aperta di Android può anche funzionare contro di essa, poiché chiunque può semplicemente iscriversi al Play Store e pubblicare un'app dannosa.
Questo è ancora allarmante per il sistema operativo più popolare al mondo, desktop o mobile. Android è utilizzato su 2.500 miliardi di dispositivi in tutto il mondo e Google ha ripetutamente omesso di fornire agli utenti garanzie di privacy e sicurezza adeguate per le app distribuite attraverso il suo mercato ufficiale.
Se sei interessato al background tecnico di come funziona il malware e alla ricerca condotta dietro le quinte da Kaspersky Labs, leggi il loro rapporto dettagliato qui.