Πέμπτη, 28 Μαΐου, 22:00
Αρχική security Google Play: Φιλοξενούσε apps που χρησιμοποιούνταν σε εκστρατεία κατασκοπείας

Google Play: Φιλοξενούσε apps που χρησιμοποιούνταν σε εκστρατεία κατασκοπείας

εκστρατεία κατασκοπείας

Η Kaspersky προειδοποίησε για μια εκστρατεία κατασκοπείας στην οποία περιλαμβάνονται κακόβουλα apps που φιλοξενούνται στο Google Play. Οι εφαρμογές κατασκοπεύουν και κλέβουν δεδομένα χρηστών Android.

Την Τρίτη, οι ερευνητές της εταιρείας δήλωσαν ότι η εκστρατεία κατασκοπείας, που ονομάστηκε PhantomLance (έτσι ονομάζεται και το trojan που χρησιμοποιείται), λαμβάνει χώρα εδώ και τέσσερα χρόνια και συνεχίζεται.

Σύμφωνα με την ερευνητική ομάδα, έχουν ανακαλυφθεί “δεκάδες” κακόβουλες εφαρμογές που συνδέονται με τη PhantomLance και φιλοξενούν ένα νέο Trojan στο Google Play, το επίσημο κατάστημα εφαρμογών για συσκευές Android. Επιπλέον, έχουν βρεθεί κακόβουλες εφαρμογές στο APK download site, APKpure.

Τον Ιούλιο του 2019, οι ερευνητές της Doctor Web είχαν δημοσιεύσει μια έρευνα σχετικά με ένα νέο Trojan που κρυβόταν σε μια εφαρμογή στο Google Play και εμφανιζόταν ως OpenGL Plugin.

Στην πραγματικότητα, η κακόβουλη εφαρμογή εγκαθιστά ένα backdoor και ξεκινά να κλέβει πληροφορίες του χρήστη.

Η Kaspersky λέει ότι ένα παρόμοιο δείγμα αυτού του Trojan βρέθηκε στο Google Play και χρησιμοποιεί κρυπτογράφηση υψηλού επιπέδου, ενώ ταυτόχρονα έχει την ικανότητα να προσαρμόζει το κακόβουλο payload ανάλογα με το περιβάλλον της κινητής συσκευής. Αυτό δείχνει ότι η PhantomLance είναι μια επικίνδυνη εκστρατεία κατασκοπείας.

Google Play

Το PhantomLance malware, για το οποίο έχουν εντοπιστεί πολλές παραλλαγές, έχει τις βασικές λειτουργίες ενός λογισμικού υποκλοπής spyware (απομάκρυνση και κλοπή πληροφοριών χρήστη, όπως αρχεία καταγραφής κλήσεων, επαφές, δεδομένα GPS, μηνύματα SMS και πληροφορίες μοντέλου συσκευής και λειτουργικού συστήματος).

Το Trojan μπορεί να δημιουργήσει ένα backdoor για να μεταφέρει τα κλεμμένα δεδομένα στον command-and-control (C2) server των hackers, καθώς και να αναπτύξει επιπλέον κακόβουλα payloads.

Η Kaspersky πιστεύει ότι πίσω από την PhantomLance εκστρατεία κατασκοπείας βρίσκεται μια APT ομάδα (Advanced Persistent Threat). Αυτή την εικασία τη στηρίζει στα προσεκτικά βήματα και στην ικανότητά της να καλύπτει τα ίχνη της. Σε “σχεδόν κάθε περίπτωση”, λέει η ομάδα, δημιουργήθηκαν ψεύτικα προφίλ προγραμματιστών που συνδέθηκαν με GitHub λογαριασμούς. Για να αποφευχθεί ο εντοπισμός, η πρώτη έκδοση κάθε εφαρμογής, που μεταφορτώθηκε στο Google Play ή το APKpure, δεν περιείχε κακόβουλο κώδικα.

“Με μεταγενέστερες ενημερώσεις, οι εφαρμογές έλαβαν κακόβουλα payloads και κώδικα για την εκτέλεση αυτών των payloads”, λέει η Kaspersky.

Οι ερευνητές εντόπισαν περίπου 300 προσπάθειες μόλυνσης σε συσκευές Android, σε χώρες όπως η Ινδία, το Βιετνάμ, το Μπαγκλαντές και η Ινδονησία.

Η συσχέτιση με συγκεκριμένη hacking ομάδα δεν είναι εύκολη υπόθεση. Ωστόσο, η PhantomLance εκστρατεία κατασκοπείας μπορεί ίσως να συνδεθεί με την APT ομάδα, OceanLotus, επίσης γνωστή ως APT32.

H Kasperksy λέει (όχι με απόλυτη σιγουριά) ότι η OceanLotus βρίσκεται πίσω από τα payloads, επειδή τουλάχιστον το 20% του codebase είναι παρόμοιο με παλαιότερες κυβερνοεπιθέσεις της συγκεκριμένης ομάδας, με στόχο χρήστες Android.  

Η OceanLotus δραστηριοποιείται από το 2013 και συνδέεται με εκστρατείες κατασκοπείας με στόχο τις κυβερνήσεις του Βιετνάμ και της Κίνας. Πρόσφατα, έλαβε χώρα μια τέτοια εκστρατεία κατασκοπείας με στόχο το κινεζικό Υπουργείο Διαχείρισης Έκτακτων Αναγκών και την κυβέρνηση της Wuhan. Οι hackers ήθελαν να πάρουν πληροφορίες σχετικά με την πανδημία COVID-19.

Η Kaspersky ανέφερε όλες τις κακόβουλες εφαρμογές που βρέθηκαν και η Google τις αφαιρεί από το Google Play.

“Οι hackers του PhantomLance κατάφεραν να παρακάμψουν τα φίλτρα του Google Play και άλλων καταστημάτων αρκετές φορές, χρησιμοποιώντας προηγμένες τεχνικές για την επίτευξη των στόχων τους”, δήλωσε ο Alexey Firsh, ερευνητής της Kaspersky.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Οι αναβαθμίσεις και τα νέα χαρακτηριστικά των Windows 10 2004!

Από σήμερα ξεκίνησε η κυκλοφορία της νέας ενημερωμένης έκδοσης των Windows 10, γνωστή ως "Windows 10 2004" ή "Windows 10 May 2020",...

Ποιες είναι οι αγαπημένες γλώσσες προγραμματισμού για το 2020;

Το Stack Overflow, ένα από τα μεγαλύτερα sites για programming Q&A, ανακοίνωσε τα αποτελέσματα από το Developer...

Η γερμανική κυβέρνηση προτρέπει τους χρήστες του iOS να διορθώσουν τα κρίσιμα ελαττώματα της εφαρμογής Mail

Η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας στον κυβερνοχώρο προέτρεψε σήμερα τους χρήστες iOS να εγκαταστήσουν αμέσως τις ενημερώσεις ασφαλείας iOS και iPadOS που...

Instagram: Ενίσχυση εισοδήματος δημιουργών με διαφημίσεις στο IGTV

To Instagram φέρνει διαφημίσεις και στο IGTV, με το 55% των εσόδων να διατίθεται στους δημιουργούς. Το μέσο κοινωνικής δικτύωσης έκανε την...

Τα Windows 10 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3

Η Microsoft ανακοίνωσε ότι τα Windows 10, έκδοση 2004 συνοδεύονται από υποστήριξη Wi-Fi 6 και WPA3 για gigabit ταχύτητες και καλύτερη απόδοση,...

Το CoreOS Container Linux της Red Hat φτάνει στο τέλος του

Όπως ανακοινώθηκε πρόσφατα από τον Benjamin Gilbert, τεχνικό του Fedora CoreOS, η υποστήριξη του CoreOS Container Linux,...

Ο Donald Trump απειλεί να κλείσει τις πλατφόρμες κοινωνικής δικτύωσης

Όπως δήλωσε σε ένα πρόσφατο tweet του, ο Πρόεδρος των ΗΠΑ Donald Trump, σκοπεύει να αλλάξει τον...

Αγωγή στη Google για τις πρακτικές παρακολούθησης χρηστών

Η Google δέχτηκε μια αγωγή από τον γενικό εισαγγελέα της Αριζόνα, Mark Brnovich, σχετικά με τις πρακτικές...

Michigan State University: Δέχτηκε ransomware επίθεση!

Οι hackers που βρίσκονται πίσω από το NetWalker ransomware, γνωστό και ως Mailto, ανακοίνωσαν ότι έχουν μολύνει...

Linux Kodachi: Κυκλοφόρησε η έκδοση v7.0 με πολλές νέες εφαρμογές

Πρόσφατα, κυκλοφόρησε η νέα έκδοση του Linux Kodachi. Αν και δεν είναι αρκετά γνωστό, το λειτουργικό αυτό...