veš kaj o PhantomLance Backdoor? Skupina hekerjev uporablja Google Play za distribucijo zlonamerne programske opreme, ki je bila uporabljena za krajo zasebnih podatkov od konca leta 2016.
Kaspersky Laboratories je delil podrobno poročilo o backdoor Trojan PhantomLance, ki so ga poimenovali sofisticirana oblika zlonamerne programske opreme, ki je ne le težje odkriti, ampak tudi težje raziskati.
Aplikacije iz trgovine Google Play, okužene s PhantomLance Backdoor, kradejo podatke od leta 2016
Kaspersky poroča, da lahko zlonamerna programska oprema v bistvu pridobi dostop do vseh informacij na okuženem pametnem telefonu:
Glavni cilj PhantomLancea je zbiranje občutljivih informacij iz naprave žrtve. Zlonamerna programska oprema lahko svojim zbiralcem zagotovi lokacijske podatke, dnevnike klicev, besedilna sporočila, sezname nameščenih aplikacij in popolne informacije o okuženem mobilnem telefonu.
Poleg tega lahko njegovo funkcionalnost kadar koli razširite s preprostim nalaganjem dodatnih modulov s strežnika C&C.
Zlonamerna programska oprema v aplikacijah Google Play
Med preiskavo so zlonamerno programsko opremo našli v priljubljenih aplikacijah in pripomočkih, ki uporabnikom omogočajo spreminjanje pisav, odstranjevanje oglasov in čiščenje sistema. Razvijalci, ki stojijo za temi aplikacijami, so lahko zaobšli vse varnostne preglede v trgovini Google Play, tako da so začeli z nezlonamernimi različicami svojih aplikacij.
Ko so bile aplikacije objavljene, so lahko pozneje s posodobitvami dodajale zlonamerne funkcije, ki jih trgovina Google Play ni nadzorovala. Razvijalci so lahko ustvarili tudi edinstvene profile na GitHubu, ki so delovali kot verodostojni razvojni viri.
Glavne tarče PhantomLancea naj bi bili uporabniki v Vietnamu. Vendar pa so okužene aplikacije prenesli tudi drugod po svetu. Trojanec je bil povezan s skupino OceanLotus, ki ima zgodovino podobnih napadov zlonamerne programske opreme na namizne operacijske sisteme. Te skupine pogosto podpirajo visoki uradniki in celo vlade.
Čeprav je Google odstranil te aplikacije iz Trgovine Play, so še vedno na voljo na spletu na različnih spletnih mestih za prenos APK-jev in drugih trgovinah tretjih oseb.
Zdi se, da tudi če nameščate aplikacije samo iz trgovine Google Play, še vedno ni varno, če ne preverite pristnosti razvijalcev. Hitro iskanje v Googlu lahko razkrije veliko verodostojnih informacij o razvijalcih, in če je v rezultatih iskanja kaj dvomljivo, se takšnim aplikacijam izogibajte.
Odprta narava Androida lahko deluje tudi proti temu, saj se lahko vsak preprosto prijavi v Trgovino Play in objavi zlonamerno aplikacijo.
To je še vedno zaskrbljujoče za najbolj priljubljen operacijski sistem na svetu, naj bo namizni ali mobilni. Android se uporablja v 2.500 milijarde naprav po vsem svetu, Google pa uporabnikom večkrat ni uspel zagotoviti ustreznih jamstev zasebnosti in varnosti za aplikacije, ki se distribuirajo prek njegovega uradnega trga.
Če vas zanima tehnično ozadje delovanja zlonamerne programske opreme in raziskave, ki jih je v zakulisju opravil Kaspersky Labs, preberite njihovo podrobno poročilo tukaj.