PhantomLance: backdoor dla Androida wykryty w sklepie Google Play

Eksperci z firmy Kaspersky zidentyfikowali w sklepie Google Play trojana PhantomLance — backdoora dla systemu Android.

W lipcu ubiegłego roku nasi koledzy z firmy Doctor Web zidentyfikowali w sklepie Google Play trojana będącego backdoorem. Mimo że niecodziennie trafiamy na takie sytuacje, nie są one niespotykane — w sklepie tym badacze nie raz znaleźli już różne trojany.

Wspomniany szkodliwy program wzbudził zainteresowanie naszych badaczy, którzy postanowili wziąć go pod lupę. Przeprowadzili własne badania, z których dowiedzieli się, że program ten jest elementem szkodliwej kampanii (której nadaliśmy nazwę PhantomLance) trwającej od końca 2015 roku.

Co potrafi PhantomLance

Nasi eksperci wykryli kilka wersji zagrożenia PhantomLance. Mimo ich coraz większych możliwości i różnego czasu pojawienia się, mają one stosunkowo podobny zakres możliwości.

Głównym celem PhantomLance jest gromadzenie informacji osobistych z urządzenia ofiary. Szkodliwy program przekazuje swoim operatorom dane dotyczące lokalizacji, rejestr połączeń, wiadomości tekstowe, listę zainstalowanych aplikacji oraz komplet informacji na temat zainfekowanego smartfona. Co więcej, jego funkcjonalność może zostać rozszerzona w dowolnym momencie poprzez załadowanie dodatkowych modułów z serwera kontroli.

Dystrybucja PhantomLance

Główną platformą służącą do dystrybucji omawianego szkodliwego programu jest sklep Google Play. Wykryto go również w repozytoriach firm trzecich, jednak przeważnie są one tylko kopiami oficjalnego sklepu z aplikacjami Google.

Aplikacje zainfekowane wersją tego trojana pojawiły się w sklepie latem 2018 roku. Wówczas ukrywał się on w narzędziach służących do zmiany czcionek, usuwania reklam, czyszczenia systemu itp.

Aplikacja w sklepie Google Play zawierająca backdoora PhantomLance

Oczywiście aplikacje zawierające PhantomLance zostały usunięte ze sklepu Google Play, lecz można je znaleźć w zasobach będących kopiami sklepu. Jak na ironię, część tych repozytoriów lustrzanych twierdzi, że pakiet instalacyjny został pobrany bezpośrednio ze sklepu Google Play, wobec czego z całą pewnością jest wolny od wirusów.

W jaki sposób cyberprzestępcom udało się przemycić swoje zabawki do oficjalnego sklepu Google? Najpierw, aby zwiększyć autentyczność, atakujący utworzyli profil każdego programisty w serwisie GitHub. Profile te zawierały swojego rodzaju umowę licencyjną. Posiadanie profilu w serwisie GitHub najwyraźniej zwiększa rangę programistów.

Pierwsze aplikacje, które twórcy zagrożenia PhantomLance umieścili w sklepie, nie były szkodliwe — ponieważ nie zawierały one żadnych podejrzanych funkcji, pomyślnie przeszły kontrolę sklepu Google Play. Po jakimś czasie jednak za pomocą aktualizacji aplikacje nabyły niepożądane funkcje.

Cele zagrożenia PhantomLance

Sądząc po geografii rozprzestrzeniania się, jak również po obecności szkodliwych aplikacji w języku wietnamskim w sklepach internetowych, głównymi celami autorów PhantomLance byli użytkownicy z Wietnamu.

Co więcej, nasi eksperci wykryli szereg cech łączących PhantomLance z ugrupowaniem OceanLotus, które utworzyło wiele szkodliwych programów również wymierzonych w użytkowników z Wietnamu.

Zestaw narzędzi szkodliwego programu OceanLotus, które zostało wcześniej przeanalizowane, zawiera rodzinę backdoorów dla systemu macOS, rodzinę backdoorów dla systemu Windows, a także zestaw trojanów dla systemu Android, których aktywność została dostrzeżona w latach 2014–2017. Nasi eksperci doszli do wniosku, że PhantomLance używał wspomnianych wyżej trojanów dla Androida od 2016 roku.

PhantomLance jest powiązany z innym szkodliwym programem OceanLotus

Jak zapewnić sobie bezpieczeństwo przed PhantomLance

Jedna z porad, którą często powtarzamy w naszych postach dotyczących szkodliwych programów dla systemu Android, dotyczy instalowania aplikacji tylko ze sklepu Google Play. Niestety, jak pokazuje przykład z PhantomLance, czasami złośliwe programy mogą oszukać nawet największych gigantów internetowych.

Firma Google dba o to, aby sklep oferował niezainfekowane aplikacje (w przeciwnym razie byłoby w nim znacznie więcej szkodliwych programów), jednak jej możliwości są ograniczone, a atakujący bywają bardzo kreatywni. Z tego względu sam fakt, że aplikacja pochodzi ze sklepu Google Play, nie jest gwarancją jej bezpieczeństwa. Zawsze należy brać pod uwagę również inne czynniki:

Więcej informacji technicznych na temat PhantomLance znajduje się w szczegółowym raporcie w serwisie Securelist.

Porady