คุณรู้อะไรเกี่ยวกับ แฟนทอมแลนซ์ แบ็คดอร์? กลุ่มแฮกเกอร์ใช้ Google Play เพื่อเผยแพร่มัลแวร์ที่เคยใช้เพื่อขโมยข้อมูลส่วนตัวตั้งแต่ปลายปี 2016
Kaspersky Laboratories ได้แบ่งปันรายงานโดยละเอียดเกี่ยวกับแบ็คดอร์โทรจัน PhantomLance ซึ่งเรียกว่ามัลแวร์รูปแบบที่ซับซ้อน ซึ่งไม่เพียงแต่จะตรวจจับได้ยากขึ้นเท่านั้น แต่ยังตรวจสอบได้ยากขึ้นอีกด้วย
แอป Google Play Store ที่ติดไวรัส PhantomLance Backdoor ได้ขโมยข้อมูลมาตั้งแต่ปี 2016
Kaspersky รายงานว่ามัลแวร์สามารถเข้าถึงข้อมูลทั้งหมดบนสมาร์ทโฟนที่ติดไวรัสโดยทั่วไป:
เป้าหมายหลักของ PhantomLance คือการรวบรวมข้อมูลที่สำคัญจากอุปกรณ์ของเหยื่อ มัลแวร์สามารถให้ข้อมูลตำแหน่ง บันทึกการโทร ข้อความ รายการแอพที่ติดตั้งและข้อมูลทั้งหมดเกี่ยวกับโทรศัพท์มือถือที่ติดไวรัส
นอกจากนี้ยังสามารถขยายฟังก์ชันการทำงานได้ตลอดเวลาโดยเพียงแค่อัปโหลดโมดูลเพิ่มเติมจากเซิร์ฟเวอร์ C&C
มัลแวร์ในแอป Google Play
ในระหว่างการสอบสวน พบมัลแวร์ในแอปและยูทิลิตี้ยอดนิยมที่อนุญาตให้ผู้ใช้เปลี่ยนแบบอักษร ลบโฆษณา และดำเนินการล้างระบบ นักพัฒนาที่อยู่เบื้องหลังแอปเหล่านี้สามารถเลี่ยงการตรวจสอบความปลอดภัยบน Google Play Store ได้โดยเริ่มจากแอปเวอร์ชันที่ไม่เป็นอันตราย
เมื่อเผยแพร่แอปแล้ว พวกเขาสามารถเพิ่มคุณลักษณะที่เป็นอันตรายได้ในภายหลังผ่านการอัปเดต ซึ่ง Google Play Store ไม่ได้ควบคุม นักพัฒนายังสามารถสร้างโปรไฟล์ที่ไม่ซ้ำกันบน GitHub เพื่อทำหน้าที่เป็นแหล่งการพัฒนาที่น่าเชื่อถือ
มีรายงานว่าเป้าหมายหลักของ PhantomLance คือผู้ใช้ในเวียดนาม อย่างไรก็ตาม มีการดาวน์โหลดแอปที่ติดไวรัสในส่วนอื่นๆ ของโลกด้วย โทรจันเชื่อมโยงกับกลุ่มที่ชื่อ OceanLotus ซึ่งมีประวัติการโจมตีมัลแวร์ที่คล้ายกันบนระบบปฏิบัติการเดสก์ท็อป กลุ่มเหล่านี้มักได้รับการสนับสนุนจากเจ้าหน้าที่ระดับสูงและแม้แต่รัฐบาล
แม้ว่า Google ได้ลบแอปเหล่านี้ออกจาก Play Store แล้ว แต่แอปเหล่านี้ยังคงมีให้บริการออนไลน์บนเว็บไซต์ดาวน์โหลด APK ต่างๆ และร้านค้าบุคคลที่สามอื่นๆ
ดูเหมือนว่าแม้ว่าคุณจะติดตั้งแอพจาก Google Play Store เท่านั้น แต่ก็ยังไม่ปลอดภัยเว้นแต่คุณจะตรวจสอบความถูกต้องของนักพัฒนา การค้นหาโดย Google อย่างรวดเร็วสามารถเปิดเผยข้อมูลที่น่าเชื่อถือมากมายเกี่ยวกับนักพัฒนา และหากมีบางสิ่งที่ดูน่าสงสัยในผลการค้นหา ให้หลีกเลี่ยงแอปดังกล่าว
ลักษณะที่เปิดกว้างของ Android ยังสามารถต่อต้านได้ เนื่องจากทุกคนสามารถลงชื่อสมัครใช้ Play Store และเผยแพร่แอปที่เป็นอันตรายได้
สิ่งนี้ยังคงเป็นเรื่องน่าตกใจสำหรับระบบปฏิบัติการที่ได้รับความนิยมมากที่สุดในโลก ไม่ว่าจะเป็นเดสก์ท็อปหรือมือถือ มีการใช้ Android บนอุปกรณ์ 2.500 พันล้านเครื่องทั่วโลก และ Google ล้มเหลวหลายครั้งในการให้การรับประกันความเป็นส่วนตัวและความปลอดภัยที่เพียงพอแก่ผู้ใช้สำหรับแอปที่เผยแพร่ผ่านตลาดกลางอย่างเป็นทางการ
หากคุณสนใจในภูมิหลังทางเทคนิคเกี่ยวกับวิธีการทำงานของมัลแวร์และงานวิจัยที่ดำเนินการโดย Kaspersky Labs โปรดอ่านรายงานโดยละเอียดได้ที่นี่