Η Kaspersky προειδοποίησε για μια εκστρατεία κατασκοπείας στην οποία περιλαμβάνονται κακόβουλα apps που φιλοξενούνται στο Google Play. Οι εφαρμογές κατασκοπεύουν και κλέβουν δεδομένα χρηστών Android.
Την Τρίτη, οι ερευνητές της εταιρείας δήλωσαν ότι η εκστρατεία κατασκοπείας, που ονομάστηκε PhantomLance (έτσι ονομάζεται και το trojan που χρησιμοποιείται), λαμβάνει χώρα εδώ και τέσσερα χρόνια και συνεχίζεται.
Σύμφωνα με την ερευνητική ομάδα, έχουν ανακαλυφθεί “δεκάδες” κακόβουλες εφαρμογές που συνδέονται με τη PhantomLance και φιλοξενούν ένα νέο Trojan στο Google Play, το επίσημο κατάστημα εφαρμογών για συσκευές Android. Επιπλέον, έχουν βρεθεί κακόβουλες εφαρμογές στο APK download site, APKpure.
Τον Ιούλιο του 2019, οι ερευνητές της Doctor Web είχαν δημοσιεύσει μια έρευνα σχετικά με ένα νέο Trojan που κρυβόταν σε μια εφαρμογή στο Google Play και εμφανιζόταν ως OpenGL Plugin.
Στην πραγματικότητα, η κακόβουλη εφαρμογή εγκαθιστά ένα backdoor και ξεκινά να κλέβει πληροφορίες του χρήστη.
Η Kaspersky λέει ότι ένα παρόμοιο δείγμα αυτού του Trojan βρέθηκε στο Google Play και χρησιμοποιεί κρυπτογράφηση υψηλού επιπέδου, ενώ ταυτόχρονα έχει την ικανότητα να προσαρμόζει το κακόβουλο payload ανάλογα με το περιβάλλον της κινητής συσκευής. Αυτό δείχνει ότι η PhantomLance είναι μια επικίνδυνη εκστρατεία κατασκοπείας.
Το PhantomLance malware, για το οποίο έχουν εντοπιστεί πολλές παραλλαγές, έχει τις βασικές λειτουργίες ενός λογισμικού υποκλοπής spyware (απομάκρυνση και κλοπή πληροφοριών χρήστη, όπως αρχεία καταγραφής κλήσεων, επαφές, δεδομένα GPS, μηνύματα SMS και πληροφορίες μοντέλου συσκευής και λειτουργικού συστήματος).
Το Trojan μπορεί να δημιουργήσει ένα backdoor για να μεταφέρει τα κλεμμένα δεδομένα στον command-and-control (C2) server των hackers, καθώς και να αναπτύξει επιπλέον κακόβουλα payloads.
Η Kaspersky πιστεύει ότι πίσω από την PhantomLance εκστρατεία κατασκοπείας βρίσκεται μια APT ομάδα (Advanced Persistent Threat). Αυτή την εικασία τη στηρίζει στα προσεκτικά βήματα και στην ικανότητά της να καλύπτει τα ίχνη της. Σε “σχεδόν κάθε περίπτωση”, λέει η ομάδα, δημιουργήθηκαν ψεύτικα προφίλ προγραμματιστών που συνδέθηκαν με GitHub λογαριασμούς. Για να αποφευχθεί ο εντοπισμός, η πρώτη έκδοση κάθε εφαρμογής, που μεταφορτώθηκε στο Google Play ή το APKpure, δεν περιείχε κακόβουλο κώδικα.
“Με μεταγενέστερες ενημερώσεις, οι εφαρμογές έλαβαν κακόβουλα payloads και κώδικα για την εκτέλεση αυτών των payloads”, λέει η Kaspersky.
Οι ερευνητές εντόπισαν περίπου 300 προσπάθειες μόλυνσης σε συσκευές Android, σε χώρες όπως η Ινδία, το Βιετνάμ, το Μπαγκλαντές και η Ινδονησία.
Η συσχέτιση με συγκεκριμένη hacking ομάδα δεν είναι εύκολη υπόθεση. Ωστόσο, η PhantomLance εκστρατεία κατασκοπείας μπορεί ίσως να συνδεθεί με την APT ομάδα, OceanLotus, επίσης γνωστή ως APT32.
H Kasperksy λέει (όχι με απόλυτη σιγουριά) ότι η OceanLotus βρίσκεται πίσω από τα payloads, επειδή τουλάχιστον το 20% του codebase είναι παρόμοιο με παλαιότερες κυβερνοεπιθέσεις της συγκεκριμένης ομάδας, με στόχο χρήστες Android.
Η OceanLotus δραστηριοποιείται από το 2013 και συνδέεται με εκστρατείες κατασκοπείας με στόχο τις κυβερνήσεις του Βιετνάμ και της Κίνας. Πρόσφατα, έλαβε χώρα μια τέτοια εκστρατεία κατασκοπείας με στόχο το κινεζικό Υπουργείο Διαχείρισης Έκτακτων Αναγκών και την κυβέρνηση της Wuhan. Οι hackers ήθελαν να πάρουν πληροφορίες σχετικά με την πανδημία COVID-19.
Η Kaspersky ανέφερε όλες τις κακόβουλες εφαρμογές που βρέθηκαν και η Google τις αφαιρεί από το Google Play.
“Οι hackers του PhantomLance κατάφεραν να παρακάμψουν τα φίλτρα του Google Play και άλλων καταστημάτων αρκετές φορές, χρησιμοποιώντας προηγμένες τεχνικές για την επίτευξη των στόχων τους”, δήλωσε ο Alexey Firsh, ερευνητής της Kaspersky.