ти щось знаєш про Бекдор PhantomLance? Група хакерів використовує Google Play для розповсюдження шкідливого програмного забезпечення, яке використовувалося для крадіжки особистих даних з кінця 2016 року.
Kaspersky Laboratories поділилася докладним звітом про бекдор трояна PhantomLance, який називають складною формою зловмисного програмного забезпечення, яке не тільки важче виявити, але й дослідити.
Додатки Google Play Store, заражені PhantomLance Backdoor, крадуть дані з 2016 року
Kaspersky повідомляє, що зловмисне програмне забезпечення може отримати доступ до всієї інформації на зараженому смартфоні:
Основною метою PhantomLance є збір конфіденційної інформації з пристрою жертви. Шкідливе програмне забезпечення може надавати своїм колекціонерам дані про місцезнаходження, журнали викликів, текстові повідомлення, списки встановлених програм і повну інформацію про заражений мобільний телефон.
Крім того, його функціональні можливості можна розширити в будь-який час, просто завантаживши додаткові модулі з сервера C&C.
Шкідливе програмне забезпечення в програмах Google Play
Під час розслідування зловмисне програмне забезпечення було виявлено в популярних програмах і утилітах, які дозволяють користувачам змінювати шрифти, видаляти рекламу та очищати систему. Розробники цих програм змогли обійти будь-які перевірки безпеки в Google Play Store, починаючи з нешкідливих версій своїх програм.
Після публікації програм вони змогли додавати шкідливі функції пізніше за допомогою оновлень, які Google Play Store не контролював. Розробники також змогли створити унікальні профілі на GitHub, щоб діяти як надійні джерела розробки.
Як повідомляється, основними цілями PhantomLance були користувачі у В’єтнамі. Однак заражені програми також були завантажені в інших частинах світу. Троян був пов’язаний з групою OceanLotus, яка має історію подібних атак зловмисного програмного забезпечення на настільні операційні системи. Ці групи часто підтримуються високопосадовцями і навіть урядами.
Хоча Google видалив ці програми з Play Store, вони все ще доступні в Інтернеті на різних веб-сайтах для завантаження файлів .apk та інших сторонніх магазинах.
Здається, навіть якщо ви встановлюєте програми лише з магазину Google Play, це все одно небезпечно, якщо ви не підтвердите справжність розробників. Швидкий пошук у Google може виявити багато достовірної інформації про розробників, і якщо щось виглядає сумнівним у результатах пошуку, уникайте таких програм.
Відкрита природа Android також може протистояти цьому, оскільки будь-хто може просто зареєструватися в Play Store і опублікувати шкідливий додаток.
Це все ще викликає тривогу для найпопулярнішої у світі операційної системи, будь то настільна чи мобільна. Android використовується на 2.500 мільярдах пристроїв у всьому світі, і Google неодноразово не надавав належних гарантій конфіденційності та безпеки користувачам додатків, які поширюються через її офіційний ринок.
Якщо вас цікавить технічне підґрунтя роботи зловмисного програмного забезпечення та дослідження, яке було проведено за лаштунками «Лабораторії Касперського», читайте їх детальний звіт тут.