Hakerska grupa godinama koristila Google Play prodavnicu za infekciju uređaja špijunskim malverom

Mobilni telefoni, 29.04.2020, 10:00 AM

Hakerska grupa godinama koristila Google Play prodavnicu za infekciju uređaja špijunskim malverom

Istraživači kompanije Kaspersky otkrili su sofisticiranu malicioznu kampanju nazvanu PhantomLance koja targetira korisnike Android uređaja različitim verzijama softvera za sajber-špijunažu koji je sakriven u aplikacijama koje se distribuiraju preko Google Play prodavnice i alternativnih prodavnica Android aplikacija kao što su APKpure i APKCombo.

PhantomLance ima značajnih preklapanja sa nekim ranijim kampanjama koje ciljaju korisnike Windowsa i macOS a koje se pripisuju APT grupi OceanLotus (koja se prati i kao APT32) i za koju se veruje da deluje iz Vijetnama. Ova grupa je aktivna bar od 2013. godine a njeni ciljevi su pretežno locirani u Jugoistočnoj Aziji. Grupa je poznata po napadima na strane kompanije koje investiraju u različite sektore vijetnamske industrije. Grupa je poznata i po napadima na istraživačke institute širom sveta, medijske organizacije, organizacije koje se bave ljudskim pravima i druge. U novije vreme, ova grupa je izvela spear-phishing napade na kinesko Ministarstvo za vanredne situacije i vladu provincije Vuhan sa ciljem prikupljanja obaveštajnih podataka o dešavanjima u vezi COVID-19.

"Kampanja PhantomLance je aktivna bar od 2015. godine i još uvek traje, a uključuje mnogobrojne verzije složenog špijunskog softvera - softvera napravljenog da prikupi podatke žrtava - i pametne taktike distribucije, uključujući distribuciju putem desetina aplikacija sa zvanične Googe Play prodavnice”, kažu iz kompanije Kaspersky.

Istraživači Kaspersky Laba otkrili su ovu kampanju kada je ruska firma Doctor Web prošle godine objavila izveštaj o novom backdoor trojancu kojeg su otkrili u Google Play prodavnici. Ovaj izveštaj privukao je pažnju istraživača kompanije Kaspersky zbog neobičnih karakteristika malvera koji je bio mnogo kompleksniji od malvera koje sajber-kriminalci obično koriste za krađu finansijskih informacija i lozinki korisnika Androida.

Istraživači kompanije Kaspersky uspeli su da pronađu još jedan veoma sličan uzorak ovog malvera u Google Play prodavnici.

Ukoliko kreatori malvera uspeju da ubace malicioznu aplikaciju u legitimnu prodavnicu aplikacija, oni uglavnom ulažu znatne resurse u reklamiranje aplikacije kako bi povećali broj instalacija i samim tim i broj žrtava. Ovo nije bio slučaj sa ovim novootkrivenim malicioznim aplikacijama. Izgledalo je kao da oni koji stoje iza njih nisu zainteresovani za njihovo masovno širenje. Za istraživače, ovo je ukazivalo na to da je reč o targetiranoj APT (Advanced Persistent Threat) aktivnosti. Dodatnim istraživanjem otkriveno je nekoliko verzija ovog malvera sa desetinama uzoraka, povezanih mnogobrojnim sličnostima u kodu.

Funkcionalnost svih uzoraka je bila slična - glavna svrha je bila prikupljanje informacija. Mada osnovna funkcionalnost nije bila preterano širokog opsega, i uključivala je geolokaciju, evidencije poziva, pristup kontaktima i SMS porukama, malver je takođe mogao da prikupi spisak instaliranih aplikacija, kao i informacije o uređaju, poput modela i verzije operativnog sistema. Osim toga, hakeri su bili u mogućnosti da preuzmu i pokrenu različiti payload, i na taj način, prilagode malver određenom okruženju uređaja, kao što su Android verzija ili instalirane aplikacije. Na ovaj način napadači su mogli da izbegnu preopterećenje maliciozne aplikacije nepotrebnim funkcionalnostima i da u isto vreme prikupljaju potrebne informacije.

Kampanja PhantomLance podrazumevala je distribuciju aplikacija na različitim platformama i iz prodavnica, uključujući Google Play i APKpure. Kako bi aplikacije izgledale legitimno, u skoro svim slučajevima napadači su pokušali da naprave lažni profil programera kreirajući povezani Github nalog. Kako bi izbegli mehanizme filtriranja koje prodavnice primenjuju, i kako njihove aplikacije ne bi bile blokirane, prve verzije aplikacije koje je grupa OceanLotus objavljivala u prodavnicama nisu sadržale maliciozni kod. Kasnijim ažuriranjem, aplikacija bi dobijala i maliciozni payload, što je potvrđeno otkrićem verzija iste aplikacije, sa ili bez payloada.

Prema podacima kompanije Kaspersky, većina žrtava ove kampanje je u Vijetnamu, sa izuzetkom malog broja pojedinaca koji se nalaze u Kini.

Kompanija Kaspersky je obavestila o svojim otkrićima Google Play koji je potvrdio da su uklonili te aplikacije.

“Ova kampanja je idealan primer za to kako akteri naprednih pretnji zalaze sve dublje i dublje i kako postaje sve teže pronaći ih. PhantomLance postoji već više od pet godina a akteri pretnji su uspeli da zaobiđu filtere prodavnica aplikacija nekoliko puta, koristeći napredne tehnike kako bi postigli svoje ciljeve. Takođe možemo primetiti da korišćenje mobilnih platformi kao primarnih tački infekcije postaje sve popularnije, sa sve više i više aktera koji napreduju u ovoj oblasti”, kaže Aleksej Firš, istraživač bezbednosti GReAT tima kompanije Kaspersky.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriven malver u aplikacijama koje je iz Play prodavnice preuzelo 8 miliona korisnika

Otkriven malver u aplikacijama koje je iz Play prodavnice preuzelo 8 miliona korisnika

Google je ovog vikenda iz Play prodavnice uklonio 15 od 21 Android aplikacije koje je prijavio češki proizvođač antivirusa Avast. Avast je rekao d... Dalje

Popularni mobilni veb pregledači imaju bag koji otvara vrata malverima i fišingu

Popularni mobilni veb pregledači imaju bag koji otvara vrata malverima i fišingu

Pakistanski istraživač Rafai Baloch otkrio je grešku u više mobilnih pregledača, kao što su Apple Safari i Opera Touch, koja ostavlja otvorena v... Dalje

Zbog obmanjivanja korisnika, zabranjene reklame za igre Homescapes i Gardenscapes

Zbog obmanjivanja korisnika, zabranjene reklame za igre Homescapes i Gardenscapes

Britansko nadzorno telo koje kontroliše poštovanje standarda oglašavanja (ASA) zabranilo je dve reklame za mobilne igre zbog toga što obmanjuju ko... Dalje

Android ransomware MalLocker aktivira se pritiskom na dugme Home

Android ransomware MalLocker aktivira se pritiskom na dugme Home

Istraživači Microsofta otkrili su novu verziju sofisticiranog ransomwarea za Android poznatog pod imenom MalLocker koji zaključava mobilne uređaje... Dalje

Zbog bombardovanja korisnika reklamama, Google iz Play prodavnice uklonio više od 240 aplikacija

Zbog bombardovanja korisnika reklamama, Google iz Play prodavnice uklonio više od 240 aplikacija

Google je ovog leta uklonio više od 240 Android aplikacija iz Play prodavnice zbog prikazivanja vankontekstualnih oglasa i kršenja novouvedenih Goog... Dalje