ты знаешь что-нибудь о Бэкдор PhantomLance? Группа хакеров использует Google Play для распространения вредоносных программ, которые использовались для кражи личных данных с конца 2016 года.
Лаборатория Касперского поделилась подробным отчетом о троянском бэкдоре PhantomLance, получившем название сложной формы вредоносного ПО, которое не только сложнее обнаружить, но и сложнее исследовать.
Приложения Google Play Store, зараженные бэкдором PhantomLance, крадут данные с 2016 года
«Лаборатория Касперского» сообщает, что вредоносная программа в принципе может получить доступ ко всей информации на зараженном смартфоне:
Основная цель PhantomLance — сбор конфиденциальной информации с устройства жертвы. Вредонос может предоставить своим сборщикам данные о местоположении, журналы вызовов, текстовые сообщения, списки установленных приложений и полную информацию о зараженном мобильном телефоне.
Кроме того, его функциональность в любой момент может быть расширена путем простой загрузки дополнительных модулей с C&C-сервера.
Вредоносное ПО в приложениях Google Play
В ходе расследования вредоносное ПО было обнаружено в популярных приложениях и утилитах, которые позволяют пользователям изменять шрифты, удалять рекламу и выполнять очистку системы. Разработчики этих приложений смогли обойти любые проверки безопасности в магазине Google Play, начав с безопасных версий своих приложений.
После того, как приложения были опубликованы, они могли позже добавлять вредоносные функции с помощью обновлений, которые не контролировал Google Play Store. Разработчики также могли создавать уникальные профили на GitHub, чтобы выступать в качестве надежных источников разработки.
Сообщается, что основными целями PhantomLance были пользователи во Вьетнаме. Однако зараженные приложения были загружены и в других частях мира. Троянец был связан с группой под названием OceanLotus, у которой есть история подобных атак вредоносных программ на настольные операционные системы. Эти группы часто поддерживаются высокопоставленными чиновниками и даже правительствами.
Хотя Google удалил эти приложения из Play Store, они по-прежнему доступны в Интернете на различных сайтах загрузки APK и в других сторонних магазинах.
Кажется, что даже если вы устанавливаете приложения только из Google Play Store, это все равно небезопасно, если вы не проверите подлинность разработчиков. Быстрый поиск в Google может выявить много достоверной информации о разработчиках, и если в результатах поиска что-то выглядит сомнительно, избегайте таких приложений.
Открытый характер Android также может работать против него, поскольку любой может просто зарегистрироваться в Play Store и опубликовать вредоносное приложение.
Это по-прежнему вызывает тревогу у самой популярной в мире операционной системы, будь то настольная или мобильная. Android используется на 2.500 миллиардах устройств по всему миру, и Google неоднократно не мог предоставить адекватные гарантии конфиденциальности и безопасности пользователям для приложений, которые распространяются через его официальный рынок.
Если вам интересна техническая подоплека работы вредоносного ПО и исследования, проведенные «Лабораторией Касперского» за кулисами, прочтите их подробный отчет здесь.