Hakerska grupa godinama koristila Google Play prodavnicu za infekciju uređaja špijunskim malverom

Mobilni telefoni, 29.04.2020, 10:00 AM

Istraživači kompanije Kaspersky otkrili su sofisticiranu malicioznu kampanju nazvanu PhantomLance koja targetira korisnike Android uređaja različitim verzijama softvera za sajber-špijunažu koji je sakriven u aplikacijama koje se distribuiraju preko Google Play prodavnice i alternativnih prodavnica Android aplikacija kao što su APKpure i APKCombo.

PhantomLance ima značajnih preklapanja sa nekim ranijim kampanjama koje ciljaju korisnike Windowsa i macOS a koje se pripisuju APT grupi OceanLotus (koja se prati i kao APT32) i za koju se veruje da deluje iz Vijetnama. Ova grupa je aktivna bar od 2013. godine a njeni ciljevi su pretežno locirani u Jugoistočnoj Aziji. Grupa je poznata po napadima na strane kompanije koje investiraju u različite sektore vijetnamske industrije. Grupa je poznata i po napadima na istraživačke institute širom sveta, medijske organizacije, organizacije koje se bave ljudskim pravima i druge. U novije vreme, ova grupa je izvela spear-phishing napade na kinesko Ministarstvo za vanredne situacije i vladu provincije Vuhan sa ciljem prikupljanja obaveštajnih podataka o dešavanjima u vezi COVID-19.

"Kampanja PhantomLance je aktivna bar od 2015. godine i još uvek traje, a uključuje mnogobrojne verzije složenog špijunskog softvera - softvera napravljenog da prikupi podatke žrtava - i pametne taktike distribucije, uključujući distribuciju putem desetina aplikacija sa zvanične Googe Play prodavnice”, kažu iz kompanije Kaspersky.

Istraživači Kaspersky Laba otkrili su ovu kampanju kada je ruska firma Doctor Web prošle godine objavila izveštaj o novom backdoor trojancu kojeg su otkrili u Google Play prodavnici. Ovaj izveštaj privukao je pažnju istraživača kompanije Kaspersky zbog neobičnih karakteristika malvera koji je bio mnogo kompleksniji od malvera koje sajber-kriminalci obično koriste za krađu finansijskih informacija i lozinki korisnika Androida.

Istraživači kompanije Kaspersky uspeli su da pronađu još jedan veoma sličan uzorak ovog malvera u Google Play prodavnici.

Ukoliko kreatori malvera uspeju da ubace malicioznu aplikaciju u legitimnu prodavnicu aplikacija, oni uglavnom ulažu znatne resurse u reklamiranje aplikacije kako bi povećali broj instalacija i samim tim i broj žrtava. Ovo nije bio slučaj sa ovim novootkrivenim malicioznim aplikacijama. Izgledalo je kao da oni koji stoje iza njih nisu zainteresovani za njihovo masovno širenje. Za istraživače, ovo je ukazivalo na to da je reč o targetiranoj APT (Advanced Persistent Threat) aktivnosti. Dodatnim istraživanjem otkriveno je nekoliko verzija ovog malvera sa desetinama uzoraka, povezanih mnogobrojnim sličnostima u kodu.

Funkcionalnost svih uzoraka je bila slična - glavna svrha je bila prikupljanje informacija. Mada osnovna funkcionalnost nije bila preterano širokog opsega, i uključivala je geolokaciju, evidencije poziva, pristup kontaktima i SMS porukama, malver je takođe mogao da prikupi spisak instaliranih aplikacija, kao i informacije o uređaju, poput modela i verzije operativnog sistema. Osim toga, hakeri su bili u mogućnosti da preuzmu i pokrenu različiti payload, i na taj način, prilagode malver određenom okruženju uređaja, kao što su Android verzija ili instalirane aplikacije. Na ovaj način napadači su mogli da izbegnu preopterećenje maliciozne aplikacije nepotrebnim funkcionalnostima i da u isto vreme prikupljaju potrebne informacije.

Kampanja PhantomLance podrazumevala je distribuciju aplikacija na različitim platformama i iz prodavnica, uključujući Google Play i APKpure. Kako bi aplikacije izgledale legitimno, u skoro svim slučajevima napadači su pokušali da naprave lažni profil programera kreirajući povezani Github nalog. Kako bi izbegli mehanizme filtriranja koje prodavnice primenjuju, i kako njihove aplikacije ne bi bile blokirane, prve verzije aplikacije koje je grupa OceanLotus objavljivala u prodavnicama nisu sadržale maliciozni kod. Kasnijim ažuriranjem, aplikacija bi dobijala i maliciozni payload, što je potvrđeno otkrićem verzija iste aplikacije, sa ili bez payloada.

Prema podacima kompanije Kaspersky, većina žrtava ove kampanje je u Vijetnamu, sa izuzetkom malog broja pojedinaca koji se nalaze u Kini.

Kompanija Kaspersky je obavestila o svojim otkrićima Google Play koji je potvrdio da su uklonili te aplikacije.

“Ova kampanja je idealan primer za to kako akteri naprednih pretnji zalaze sve dublje i dublje i kako postaje sve teže pronaći ih. PhantomLance postoji već više od pet godina a akteri pretnji su uspeli da zaobiđu filtere prodavnica aplikacija nekoliko puta, koristeći napredne tehnike kako bi postigli svoje ciljeve. Takođe možemo primetiti da korišćenje mobilnih platformi kao primarnih tački infekcije postaje sve popularnije, sa sve više i više aktera koji napreduju u ovoj oblasti”, kaže Aleksej Firš, istraživač bezbednosti GReAT tima kompanije Kaspersky.