weet jij er iets van? PhantomLance Achterdeur? Een groep hackers gebruikt Google Play om malware te verspreiden die sinds eind 2016 wordt gebruikt om privégegevens te stelen.
Kaspersky Laboratories heeft een gedetailleerd rapport gedeeld over de PhantomLance Trojan-achterdeur, ook wel een geavanceerde vorm van malware genoemd, die niet alleen moeilijker te detecteren is, maar ook moeilijker te onderzoeken.
Google Play Store-apps die zijn geïnfecteerd door PhantomLance Backdoor stelen sinds 2016 gegevens
Kaspersky meldt dat de malware in principe toegang kan krijgen tot alle informatie op een geïnfecteerde smartphone:
Het belangrijkste doel van PhantomLance is om gevoelige informatie van het apparaat van het slachtoffer te verzamelen. De malware kan zijn verzamelaars voorzien van locatiegegevens, oproeplogboeken, sms-berichten, lijsten met geïnstalleerde apps en volledige informatie over de geïnfecteerde mobiele telefoon.
Bovendien kan de functionaliteit op elk moment worden uitgebreid door eenvoudig extra modules van de C&C-server te uploaden.
Malware in Google Play-apps
Tijdens het onderzoek werd de malware gevonden in populaire apps en hulpprogramma's waarmee gebruikers lettertypen kunnen wijzigen, advertenties kunnen verwijderen en systeemopruimingen kunnen uitvoeren. De ontwikkelaars achter deze apps konden alle beveiligingscontroles in de Google Play Store omzeilen door te beginnen met niet-kwaadaardige versies van hun apps.
Nadat de apps waren gepubliceerd, konden ze later schadelijke functies toevoegen via updates, die de Google Play Store niet beheerde. Ontwikkelaars waren ook in staat om unieke profielen op GitHub te maken om als geloofwaardige ontwikkelingsbronnen te fungeren.
De belangrijkste doelen van PhantomLance zijn naar verluidt gebruikers in Vietnam geweest. Maar ook in andere delen van de wereld zijn geïnfecteerde apps gedownload. Het Trojaanse paard is gekoppeld aan een groep genaamd OceanLotus, die een geschiedenis heeft van soortgelijke malware-aanvallen op desktopbesturingssystemen. Deze groepen worden vaak gesteund door hoge functionarissen en zelfs regeringen.
Hoewel Google deze apps uit de Play Store heeft verwijderd, zijn ze nog steeds online beschikbaar op verschillende APK-downloadwebsites en andere winkels van derden.
Het lijkt erop dat zelfs als je alleen apps uit de Google Play Store installeert, het nog steeds niet veilig is, tenzij je de authenticiteit van de ontwikkelaars verifieert. Een snelle Google-zoekopdracht kan veel geloofwaardige informatie over de ontwikkelaars onthullen, en als iets er dubieus uitziet in de zoekresultaten, vermijd dan dergelijke apps.
Het open karakter van Android kan er ook tegen werken, omdat iedereen zich eenvoudig kan aanmelden voor de Play Store en een schadelijke app kan publiceren.
Dit is nog steeds zorgwekkend voor 's werelds populairste besturingssysteem, of het nu desktop of mobiel is. Android wordt wereldwijd op 2.500 miljard apparaten gebruikt en Google heeft herhaaldelijk gefaald om voldoende privacy- en beveiligingsgaranties te bieden aan gebruikers voor apps die worden gedistribueerd via zijn officiële marktplaats.
Als je geïnteresseerd bent in de technische achtergrond van hoe de malware werkt en het onderzoek dat achter de schermen is uitgevoerd door Kaspersky Labs, lees dan hier hun gedetailleerde rapport.