vai tu kaut ko zini par PhantomLance Backdoor? Hakeru grupa kopš 2016. gada beigām izmanto pakalpojumu Google Play, lai izplatītu ļaunprātīgu programmatūru, kas izmantota privātu datu zagšanai.
Kaspersky Laboratories ir kopīgojis detalizētu ziņojumu par PhantomLance Trojas aizmugures durvīm, kas nodēvētas par izsmalcinātu ļaunprātīgas programmatūras veidu, kuru ir ne tikai grūtāk noteikt, bet arī grūtāk izmeklēt.
Ar PhantomLance Backdoor inficētās Google Play veikala lietotnes ir zog datus kopš 2016. gada.
Kaspersky ziņo, ka ļaunprogrammatūra pamatā var piekļūt visai informācijai inficētajā viedtālrunī:
PhantomLance galvenais mērķis ir savākt sensitīvu informāciju no upura ierīces. Ļaunprātīga programmatūra saviem kolekcionāriem var nodrošināt atrašanās vietas datus, zvanu žurnālus, īsziņas, instalēto lietotņu sarakstus un pilnīgu informāciju par inficēto mobilo tālruni.
Turklāt tā funkcionalitāti var jebkurā laikā paplašināt, vienkārši augšupielādējot papildu moduļus no C&C servera.
Ļaunprātīga programmatūra Google Play lietotnēs
Izmeklēšanas laikā ļaunprogrammatūra tika atrasta populārās lietotnēs un utilītprogrammās, kas ļauj lietotājiem mainīt fontus, noņemt reklāmas un veikt sistēmas tīrīšanu. Šo lietotņu izstrādātāji varēja apiet visas drošības pārbaudes Google Play veikalā, sākot ar savu lietotņu neļaunprātīgām versijām.
Kad lietotnes tika publicētas, tās vēlāk varēja pievienot ļaunprātīgas funkcijas, izmantojot atjauninājumus, kurus Google Play veikals nekontrolēja. Izstrādātāji varēja arī izveidot unikālus profilus vietnē GitHub, lai tie darbotos kā uzticami izstrādes avoti.
Tiek ziņots, ka galvenie PhantomLance mērķi ir bijuši lietotāji Vjetnamā. Tomēr inficētās lietotnes ir lejupielādētas arī citviet pasaulē. Trojas zirgs ir saistīts ar grupu OceanLotus, kurai ir bijuši līdzīgi ļaunprātīgas programmatūras uzbrukumi galddatoru operētājsistēmām. Šīs grupas bieži atbalsta augsta līmeņa amatpersonas un pat valdības.
Lai gan Google ir noņēmis šīs lietotnes no Play veikala, tās joprojām ir pieejamas tiešsaistē dažādās APK lejupielādes vietnēs un citos trešo pušu veikalos.
Šķiet, ka pat tad, ja instalējat lietotnes tikai no Google Play veikala, tas joprojām nav droši, ja vien nepārbaudīsit izstrādātāju autentiskumu. Ātra Google meklēšana var atklāt daudz ticamas informācijas par izstrādātājiem, un, ja meklēšanas rezultātos kaut kas šķiet apšaubāms, izvairieties no šādām lietotnēm.
Android atvērtais raksturs var arī darboties pret to, jo ikviens var vienkārši reģistrēties Play veikalā un ievietot ļaunprātīgu lietotni.
Tas joprojām ir satraucoši attiecībā uz pasaulē populārāko operētājsistēmu neatkarīgi no tā, vai tā ir galddatora vai mobilā ierīce. Android tiek izmantots 2.500 miljardos ierīču visā pasaulē, un Google vairākkārt nav nodrošinājis lietotājiem atbilstošas privātuma un drošības garantijas lietotnēm, kas tiek izplatītas, izmantojot tās oficiālo tirgu.
Ja jūs interesē ļaunprātīgās programmatūras darbības tehniskais fons un Kaspersky Labs aizkulisēs veiktie pētījumi, izlasiet to detalizēto ziņojumu šeit.