Δευτέρα, 23 Νοεμβρίου, 19:53
Αρχική security Google Play: Φιλοξενούσε apps που χρησιμοποιούνταν σε εκστρατεία κατασκοπείας

Google Play: Φιλοξενούσε apps που χρησιμοποιούνταν σε εκστρατεία κατασκοπείας

εκστρατεία κατασκοπείας

Η Kaspersky προειδοποίησε για μια εκστρατεία κατασκοπείας στην οποία περιλαμβάνονται κακόβουλα apps που φιλοξενούνται στο Google Play. Οι εφαρμογές κατασκοπεύουν και κλέβουν δεδομένα χρηστών Android.

Την Τρίτη, οι ερευνητές της εταιρείας δήλωσαν ότι η εκστρατεία κατασκοπείας, που ονομάστηκε PhantomLance (έτσι ονομάζεται και το trojan που χρησιμοποιείται), λαμβάνει χώρα εδώ και τέσσερα χρόνια και συνεχίζεται.

Σύμφωνα με την ερευνητική ομάδα, έχουν ανακαλυφθεί “δεκάδες” κακόβουλες εφαρμογές που συνδέονται με τη PhantomLance και φιλοξενούν ένα νέο Trojan στο Google Play, το επίσημο κατάστημα εφαρμογών για συσκευές Android. Επιπλέον, έχουν βρεθεί κακόβουλες εφαρμογές στο APK download site, APKpure.

Τον Ιούλιο του 2019, οι ερευνητές της Doctor Web είχαν δημοσιεύσει μια έρευνα σχετικά με ένα νέο Trojan που κρυβόταν σε μια εφαρμογή στο Google Play και εμφανιζόταν ως OpenGL Plugin.

Στην πραγματικότητα, η κακόβουλη εφαρμογή εγκαθιστά ένα backdoor και ξεκινά να κλέβει πληροφορίες του χρήστη.

Η Kaspersky λέει ότι ένα παρόμοιο δείγμα αυτού του Trojan βρέθηκε στο Google Play και χρησιμοποιεί κρυπτογράφηση υψηλού επιπέδου, ενώ ταυτόχρονα έχει την ικανότητα να προσαρμόζει το κακόβουλο payload ανάλογα με το περιβάλλον της κινητής συσκευής. Αυτό δείχνει ότι η PhantomLance είναι μια επικίνδυνη εκστρατεία κατασκοπείας.

Google Play

Το PhantomLance malware, για το οποίο έχουν εντοπιστεί πολλές παραλλαγές, έχει τις βασικές λειτουργίες ενός λογισμικού υποκλοπής spyware (απομάκρυνση και κλοπή πληροφοριών χρήστη, όπως αρχεία καταγραφής κλήσεων, επαφές, δεδομένα GPS, μηνύματα SMS και πληροφορίες μοντέλου συσκευής και λειτουργικού συστήματος).

Το Trojan μπορεί να δημιουργήσει ένα backdoor για να μεταφέρει τα κλεμμένα δεδομένα στον command-and-control (C2) server των hackers, καθώς και να αναπτύξει επιπλέον κακόβουλα payloads.

Η Kaspersky πιστεύει ότι πίσω από την PhantomLance εκστρατεία κατασκοπείας βρίσκεται μια APT ομάδα (Advanced Persistent Threat). Αυτή την εικασία τη στηρίζει στα προσεκτικά βήματα και στην ικανότητά της να καλύπτει τα ίχνη της. Σε “σχεδόν κάθε περίπτωση”, λέει η ομάδα, δημιουργήθηκαν ψεύτικα προφίλ προγραμματιστών που συνδέθηκαν με GitHub λογαριασμούς. Για να αποφευχθεί ο εντοπισμός, η πρώτη έκδοση κάθε εφαρμογής, που μεταφορτώθηκε στο Google Play ή το APKpure, δεν περιείχε κακόβουλο κώδικα.

“Με μεταγενέστερες ενημερώσεις, οι εφαρμογές έλαβαν κακόβουλα payloads και κώδικα για την εκτέλεση αυτών των payloads”, λέει η Kaspersky.

Οι ερευνητές εντόπισαν περίπου 300 προσπάθειες μόλυνσης σε συσκευές Android, σε χώρες όπως η Ινδία, το Βιετνάμ, το Μπαγκλαντές και η Ινδονησία.

Η συσχέτιση με συγκεκριμένη hacking ομάδα δεν είναι εύκολη υπόθεση. Ωστόσο, η PhantomLance εκστρατεία κατασκοπείας μπορεί ίσως να συνδεθεί με την APT ομάδα, OceanLotus, επίσης γνωστή ως APT32.

H Kasperksy λέει (όχι με απόλυτη σιγουριά) ότι η OceanLotus βρίσκεται πίσω από τα payloads, επειδή τουλάχιστον το 20% του codebase είναι παρόμοιο με παλαιότερες κυβερνοεπιθέσεις της συγκεκριμένης ομάδας, με στόχο χρήστες Android.  

Η OceanLotus δραστηριοποιείται από το 2013 και συνδέεται με εκστρατείες κατασκοπείας με στόχο τις κυβερνήσεις του Βιετνάμ και της Κίνας. Πρόσφατα, έλαβε χώρα μια τέτοια εκστρατεία κατασκοπείας με στόχο το κινεζικό Υπουργείο Διαχείρισης Έκτακτων Αναγκών και την κυβέρνηση της Wuhan. Οι hackers ήθελαν να πάρουν πληροφορίες σχετικά με την πανδημία COVID-19.

Η Kaspersky ανέφερε όλες τις κακόβουλες εφαρμογές που βρέθηκαν και η Google τις αφαιρεί από το Google Play.

“Οι hackers του PhantomLance κατάφεραν να παρακάμψουν τα φίλτρα του Google Play και άλλων καταστημάτων αρκετές φορές, χρησιμοποιώντας προηγμένες τεχνικές για την επίτευξη των στόχων τους”, δήλωσε ο Alexey Firsh, ερευνητής της Kaspersky.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Στοιχεία χρηστών του Spotify εκτέθηκαν από hackers

Μια ομάδα hacking κατάφερε να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε 350.000 λογαριασμούς του Spotify στην υπηρεσία music streaming. Για να το πετύχει...

Black Friday: συμβουλές για ασφαλείς διαδικτυακές αγορές

Οι Black Friday και Cyber ​​Monday αποτελούν δύο από τις πιο δραστήριες ημέρες, όσον αφορά τις διαδικτυακές αγορές. Και όπως είναι φυσικό...

Photoshop: Πως να επαναφέρετε τον παλιό τρόπο λειτουργίας του Free Transform

Η Adobe άλλαξε πρόσφατα τον τρόπο με τον οποίο λειτουργεί το Free Transform. Όμως μπορείτε να επαναφέρετε τον παλιό τρόπο λειτουργίας του...
00:02:56

Ε.Ε.: Ετοιμάζεται να δώσει τέλος στην end-to-end κρυπτογράφηση;

Η end-to-end κρυπτογράφηση αποτελεί ένα εργαλείο ασφαλείας που χρησιμοποιείται από διάφορες εφαρμογές, συμπεριλαμβανομένων των Facebook Messenger, WhatsApp και Signal, για την περαιτέρω...

Πως να απενεργοποιήσετε τα “welcome tips” μετά τα update των Windows 10

Τα Windows 10 μετά από ένα update μερικές φορές ανοίγουν ένα παράθυρο με tips για να σας δείξουν τι νέο υπάρχει για...

Το update των Windows 10 KB4586819 διορθώνει διάφορα προβλήματα

Η Microsoft κυκλοφόρησε την αθροιστική ενημερωμένη non-security έκδοση KB4586819 προεπισκόπησης για τα Windows 10 εκδόσεις 1809, 1903 και 1909, με διάφορες επιδιορθώσεις...

Τα websites Drupal είναι ευάλωτα σε επιθέσεις double-extension!

Η ομάδα πίσω από το σύστημα διαχείρισης περιεχομένου Drupal (CMS) κυκλοφόρησε αυτήν την εβδομάδα κάποιες ενημερώσεις ασφαλείας για να διορθώσει μια κρίσιμη...

Το face recognition μπορεί να ταυτοποιήσει αρκούδες και αγελάδες

Το face recognition μπορεί να χρησιμοποιηθεί για την ταυτοποίηση διαφόρων ζώων όπως οι αρκούδες και οι αγελάδες!

Google Workspace: Πως ξεκλείδωσε την αγορά του συνδρομητικού λογισμικού

Στην πραγματικότητα η Google έκανε πιο εύκολο το πεδίο για τους μικρότερους παίκτες. Μια startup που ξεκινάει το 2020...

Black Friday με online προσφορές σε COSMOTE και ΓΕΡΜΑΝΟ

Δελτίο Τύπου: Black Friday με online προσφορές σε COSMOTE και ΓΕΡΜΑΝΟ 23 Νοεμβρίου 2020