may alam ka ba tungkol sa PhantomLance Backdoor? Isang pangkat ng mga hacker ang gumagamit ng Google Play para ipamahagi ang malware na ginamit para magnakaw ng pribadong data mula noong huling bahagi ng 2016.
Nagbahagi ang Kaspersky Laboratories ng isang detalyadong ulat sa backdoor ng PhantomLance Trojan, na tinatawag na isang sopistikadong anyo ng malware, na hindi lamang mas mahirap tuklasin ngunit mas mahirap ding imbestigahan.
Ang mga app ng Google Play Store na nahawaan ng PhantomLance Backdoor ay nagnanakaw ng data mula noong 2016
Iniulat ng Kaspersky na ang malware ay maaaring makakuha ng access sa lahat ng impormasyon sa isang nahawaang smartphone:
Ang pangunahing layunin ng PhantomLance ay upang mangolekta ng sensitibong impormasyon mula sa device ng biktima. Ang malware ay maaaring magbigay sa mga kolektor nito ng data ng lokasyon, mga log ng tawag, mga text message, mga listahan ng mga naka-install na app, at kumpletong impormasyon tungkol sa nahawaang mobile phone.
Higit pa rito, ang pagpapagana nito ay maaaring palawigin anumang oras sa pamamagitan lamang ng pag-upload ng mga karagdagang module mula sa C&C server.
Malware sa Google Play app
Sa panahon ng pagsisiyasat, natagpuan ang malware sa mga sikat na app at utility na nagbibigay-daan sa mga user na magpalit ng mga font, mag-alis ng mga ad, at magsagawa ng mga paglilinis ng system. Nagawa ng mga developer sa likod ng mga app na ito na i-bypass ang anumang mga pagsusuri sa seguridad sa Google Play Store sa pamamagitan ng pagsisimula sa mga hindi nakakahamak na bersyon ng kanilang mga app.
Kapag na-publish na ang mga app, nakapagdagdag sila ng mga nakakahamak na feature sa ibang pagkakataon sa pamamagitan ng mga update, na hindi kontrolado ng Google Play Store. Nakagawa din ang mga developer ng mga natatanging profile sa GitHub para kumilos bilang mga mapagkakatiwalaang source ng development.
Ang mga pangunahing target ng PhantomLance ay naiulat na mga user sa Vietnam. Gayunpaman, na-download na rin ang mga infected na app sa ibang bahagi ng mundo. Ang Trojan ay na-link sa isang grupo na tinatawag na OceanLotus, na may kasaysayan ng mga katulad na pag-atake ng malware sa mga desktop operating system. Ang mga grupong ito ay kadalasang sinusuportahan ng matataas na antas ng mga opisyal at maging ng mga pamahalaan.
Bagama't inalis ng Google ang mga app na ito sa Play Store, available pa rin ang mga ito online sa iba't ibang website ng pag-download ng APK at iba pang mga third-party na tindahan.
Mukhang kahit na mag-install ka lamang ng mga app mula sa Google Play Store, hindi pa rin ito ligtas maliban kung i-verify mo ang pagiging tunay ng mga developer. Ang isang mabilis na paghahanap sa Google ay maaaring magbunyag ng maraming mapagkakatiwalaang impormasyon tungkol sa mga developer, at kung may mukhang kahina-hinala sa mga resulta ng paghahanap, iwasan ang mga naturang app.
Ang bukas na kalikasan ng Android ay maaari ding gumana laban dito, dahil kahit sino ay maaaring mag-sign up para sa Play Store at mag-post ng isang nakakahamak na app.
Nakakaalarma pa rin ito para sa pinakasikat na operating system sa mundo, desktop man o mobile. Ginagamit ang Android sa 2.500 bilyong device sa buong mundo, at paulit-ulit na nabigo ang Google na magbigay ng sapat na mga garantiya sa privacy at seguridad sa mga user para sa mga app na ipinamamahagi sa pamamagitan ng opisyal na marketplace nito.
Kung interesado ka sa teknikal na background kung paano gumagana ang malware at ang pananaliksik na isinagawa sa likod ng mga eksena ng Kaspersky Labs, basahin ang kanilang detalyadong ulat dito.