você sabe alguma coisa sobre Backdoor PhantomLance? Um grupo de hackers usa o Google Play para distribuir malware que tem sido usado para roubar dados privados desde o final de 2016.
A Kaspersky Laboratories compartilhou um relatório detalhado sobre o backdoor PhantomLance Trojan, apelidado de uma forma sofisticada de malware, que não é apenas mais difícil de detectar, mas também mais difícil de investigar.
Aplicativos da Google Play Store infectados pelo PhantomLance Backdoor roubam dados desde 2016
A Kaspersky relata que o malware pode basicamente obter acesso a todas as informações em um smartphone infectado:
O principal objetivo do PhantomLance é coletar informações confidenciais do dispositivo da vítima. O malware pode fornecer a seus coletores dados de localização, registros de chamadas, mensagens de texto, listas de aplicativos instalados e informações completas sobre o celular infectado.
Além disso, sua funcionalidade pode ser estendida a qualquer momento simplesmente carregando módulos adicionais do servidor C&C.
Malware em aplicativos do Google Play
Durante a investigação, o malware foi encontrado em aplicativos e utilitários populares que permitem aos usuários alterar fontes, remover anúncios e realizar limpezas do sistema. Os desenvolvedores por trás desses aplicativos conseguiram contornar todas as verificações de segurança na Google Play Store começando com versões não maliciosas de seus aplicativos.
Depois que os aplicativos foram publicados, eles conseguiram adicionar recursos maliciosos posteriormente por meio de atualizações, que a Google Play Store não controlava. Os desenvolvedores também puderam criar perfis exclusivos no GitHub para atuar como fontes de desenvolvimento confiáveis.
Os principais alvos do PhantomLance teriam sido usuários no Vietnã. No entanto, aplicativos infectados também foram baixados em outras partes do mundo. O Trojan foi vinculado a um grupo chamado OceanLotus, que tem um histórico de ataques de malware semelhantes em sistemas operacionais de desktop. Esses grupos são frequentemente apoiados por funcionários de alto nível e até mesmo governos.
Embora o Google tenha removido esses aplicativos da Play Store, eles ainda estão disponíveis online em vários sites de download de APK e outras lojas de terceiros.
Parece que, mesmo que você instale apenas aplicativos da Google Play Store, ainda não é seguro, a menos que você verifique a autenticidade dos desenvolvedores. Uma pesquisa rápida no Google pode revelar muitas informações confiáveis sobre os desenvolvedores e, se algo parecer duvidoso nos resultados da pesquisa, evite esses aplicativos.
A natureza aberta do Android também pode funcionar contra ele, pois qualquer pessoa pode simplesmente se inscrever na Play Store e postar um aplicativo malicioso.
Isso ainda é alarmante para o sistema operacional mais popular do mundo, seja desktop ou móvel. O Android é usado em 2.500 bilhões de dispositivos em todo o mundo, e o Google falhou repetidamente em fornecer garantias adequadas de privacidade e segurança aos usuários para aplicativos distribuídos por meio de seu mercado oficial.
Se você estiver interessado no histórico técnico de como o malware funciona e na pesquisa realizada nos bastidores pela Kaspersky Labs, leia o relatório detalhado aqui.