ar žinai ką nors apie PhantomLance Backdoor? Grupė įsilaužėlių nuo 2016 m. pabaigos naudojasi „Google Play“, kad platintų kenkėjiškas programas, kurios buvo naudojamos pavogti asmeninius duomenis.
„Kaspersky Laboratories“ pasidalino išsamia ataskaita apie „PhantomLance Trojan Backdoor“, pavadintą sudėtinga kenkėjiškų programų forma, kurią ne tik sunkiau aptikti, bet ir ištirti.
„Google Play“ parduotuvės programos, užkrėstos „PhantomLance Backdoor“, vagia duomenis nuo 2016 m.
„Kaspersky“ praneša, kad kenkėjiška programa iš esmės gali pasiekti visą informaciją užkrėstame išmaniajame telefone:
Pagrindinis „PhantomLance“ tikslas – rinkti jautrią informaciją iš aukos įrenginio. Kenkėjiška programa gali pateikti savo rinkėjams vietos duomenis, skambučių žurnalus, tekstinius pranešimus, įdiegtų programų sąrašus ir visą informaciją apie užkrėstą mobilųjį telefoną.
Be to, jo funkcionalumą galima bet kada išplėsti tiesiog įkeliant papildomų modulių iš C&C serverio.
Kenkėjiška programa „Google Play“ programose
Tyrimo metu kenkėjiška programa buvo rasta populiariose programėlėse ir paslaugų programose, kurios leidžia vartotojams keisti šriftus, pašalinti skelbimus ir atlikti sistemos valymą. Šių programų kūrėjai galėjo apeiti bet kokius saugos patikrinimus „Google Play“ parduotuvėje, pradėdami nuo nekenksmingų savo programų versijų.
Kai programos buvo paskelbtos, jos vėliau galėjo pridėti kenkėjiškų funkcijų per atnaujinimus, kurių „Google Play“ parduotuvė nekontroliavo. Kūrėjai taip pat galėjo sukurti unikalius „GitHub“ profilius, kad jie veiktų kaip patikimi kūrimo šaltiniai.
Pranešama, kad pagrindiniai „PhantomLance“ taikiniai buvo vartotojai Vietname. Tačiau užkrėstos programėlės buvo atsisiųstos ir kitose pasaulio šalyse. Trojos arklys buvo susietas su grupe, pavadinta OceanLotus, kuri turi panašių kenkėjiškų programų atakų prieš stalinių kompiuterių operacines sistemas istoriją. Šias grupes dažnai remia aukšto lygio pareigūnai ir net vyriausybės.
Nors „Google“ pašalino šias programas iš „Play“ parduotuvės, jas vis dar galima rasti internete įvairiose APK atsisiuntimo svetainėse ir kitose trečiųjų šalių parduotuvėse.
Panašu, kad net jei diegiate programas tik iš „Google Play“ parduotuvės, tai vis tiek nėra saugu, nebent patikrinsite kūrėjų autentiškumą. Greita Google paieška gali atskleisti daug patikimos informacijos apie kūrėjus, o jei paieškos rezultatuose kažkas atrodo abejotinai, venkite tokių programėlių.
Atviras „Android“ pobūdis taip pat gali priešintis, nes bet kas gali tiesiog prisiregistruoti „Play“ parduotuvėje ir paskelbti kenkėjišką programą.
Tai vis dar kelia nerimą populiariausiai pasaulyje operacinei sistemai, nesvarbu, ar tai stalinis, ar mobilusis. „Android“ naudojama 2.500 milijardo įrenginių visame pasaulyje, o „Google“ ne kartą nesuteikė vartotojams tinkamų privatumo ir saugumo garantijų programoms, kurios platinamos per oficialią jos prekyvietę.
Jei jus domina kenkėjiškų programų veikimo techninis pagrindas ir „Kaspersky Labs“ užkulisiuose atlikti tyrimai, skaitykite išsamią jų ataskaitą čia.